La operación de cryptojacking conocida como TeamTNT ha resurgido probablemente como parte de una nueva campaña dirigida a infraestructuras de Servidores Privados Virtuales (VPS) basadas en el sistema operativo CentOS.
Los investigadores de Group-IB Vito Alfano y Nam Le Phuong en un informe publicado el miércoles indicaron que «El acceso inicial se logró a través de un ataque de fuerza bruta Secure Shell (SSH) a los activos de la víctima, durante el cual los ciberdelincuentes cargaron un script malicioso».
El script malicioso, es responsable de desactivar las funciones de seguridad, borrar los registros, terminar los procesos de minería de criptomoneda e inhibir los esfuerzos de recuperación.
En última instancia, las cadenas de ataque allanan el camino para el despliegue del rootkit Diamorphine con el fin de ocultar procesos maliciosos, a la vez que se establece un acceso remoto persistente al host comprometido.
La campaña se ha atribuido a TeamTNT con una confianza moderada, citando similitudes en las tácticas, técnicas y procedimientos (TTP) observados.
TeamTNT fue descubierto por primera en 2019, llevando a cabo actividades ilícitas de minería de criptomonedas infiltrándose en entornos de nube y contenedores.
Aunque el actor de la amenaza se despidió en noviembre de 2021 anunciando una «retirada limpia», los informes públicos han descubierto varias campañas llevadas a cabo por el equipo de piratas informáticos desde septiembre de 2022.
La última actividad del grupo se manifiesta en forma de un script de shell que primero comprueba si ha sido infectado previamente por otras operaciones de cryptojacking, tras lo cual procede a dañar la seguridad del dispositivo deshabilitando SELinux, AppArmor y el cortafuegos.
«El script busca un demonio relacionado con el proveedor de la nube Alibaba, llamado aliyun.service», señalaron los investigadores. «Si detecta este demonio, descarga un script bash de update.aegis.aliyun.com para desinstalar el servicio».
Además de matar todos los procesos de minería de criptomonedas competidores, el script toma medidas para ejecutar una serie de comandos que eliminan los rastros dejados por otros mineros, terminan los procesos en contenedores y eliminan las imágenes desplegadas en conexión con cualquier minero de monedas.
Además, establece la persistencia configurando cron jobs que descargan el shell script cada 30 minutos desde un servidor remoto (65.108.48[.]150) y modificando el archivo «/root/.ssh/authorized_keys» para añadir una cuenta backdoor.
«Bloquea el sistema modificando los atributos de los archivos, creando un usuario backdoor con acceso root y borrando el historial de comandos para ocultar sus actividades», señalaron los investigadores.
«El actor de la amenaza no deja nada al azar; de hecho, el script implementa varios cambios dentro de la configuración del servicio SSH y firewall».