El grupo de criptojacking TeamTNT utiliza Decoy Miner para ocultar la filtración de datos

0

El grupo de criptojacking TeamTNT está usando Decoy Miner para ocultar la filtración de datos

Detectan a hackers del estado-nación ocultando actividades de ciberespionaje detrás de mineros de criptomonedas

El grupo de cryptojacking conocido como TeamTNT parece estar detrás de una cepa de malware no descubierta antes que se utiliza para extraer la criptomoneda Monero en sistemas comprometidos.

Según Cado Security, que encontró la muestra después de que Sysdig detallara un ataque sofisticado conocido como SCARLETEEL dirigido a entornos en contenedores para, en última instancia, robar datos y software patentados.

Específicamente, la fase inicial de la cadena de ataque involucró el uso de un minero de criptomonedas, que la empresa de seguridad en la nube sospechó que se implementó como señuelo para ocultar la detección de exfiltración de datos.

El artefacto, subido a VirusTotal a fines del mes pasado, «tiene varias similitudes sintácticas y semánticas con las cargas útiles anteriores de TeamTNT, e incluye una identificación de billetera que se les atribuyó anteriormente», reveló un análisis de Cado Security.

Se ha documentado que TeamTNT, activo desde al menos 2019, ataca repetidamente entornos de nube y contenedores para implementar mineros de criptomonedas. También se sabe que libera un gusano de criptominería capaz de robar las credenciales de AWS.

Aunque el atacante cerró voluntariamente sus operaciones en noviembre de 2021, la empresa de seguridad en la nube Aqua reveló en septiembre de 2022 un nuevo conjunto de ataques montados por el grupo dirigidos a instancias de Docker y Redis mal configuradas.

Dicho esto, también existen indicios de que equipos rivales como WatchDog podrían estar imitando las tácticas, técnicas y procedimientos (TTP) de teamTNT para frustrar los esfuerzos de atribución.

Otro grupo de actividades notable es Kiss-a-dog, que también se basa en herramientas e infraestructura de comando y control (C2) previamente asociada con TeamTNT para extraer criptomonedas.

No hay evidencia concreta para vincular el nuevo malware con el ataque SCARLETEEL. Pero Cado Security dijo que la muestra apareció casi al mismo tiempo que se informó este último, lo que plantea la posibilidad de que este podría ser el minero «señuelo» que se instaló.

El script de shell, por su parte, toma medidas preparatorias para reconfigurar los límites estrictos de los recursos, evitar el registro del historial de comandos, aceptar todo el tráfico de entrada o salida, enumerar los recursos de hardware e incluso limpiar compromisos anteriores antes de comenzar la actividad.

Al igual que otros ataques vinculados a TeamTNT, la carga útil maliciosa también aprovecha una técnica conocida como secuestro del vinculador dinámico para encubrir el proceso minero por medio de un objeto ejecutable compartido llamado libprocesshider que utiliza la variable de entorno LD_PRELOAD.

La persistencia se logra por tres medios distintos, uno de los cuales modifica el archivo .profile, para garantizar que el minero siga ejecutándose durante los reinicios del sistema.

Los hallazgos se producen cuando se observó que otro grupo de criptomineros denominado 8220 Gang usa un encriptador llamado ScrubCryp para realizar operaciones ilícitas de criptojacking.

Además, se han encontrado atacantes desconocidos que se dirigen a la infraestructura vulnerable del orquestador de contenedores de Kubernetes con API expuestas para extraer la criptomoneda Dero, lo que marca un cambio de Monero.

La compañía de seguridad cibernética Morphisec, el mes pasado, también arrojó luz sobre una campaña de malware evasivo que aprovecha las vulnerabilidades de ProxyShell en los servidores de Microsoft Exchange para eliminar una cepa de criptominero cuyo nombre en código es ProxyShellMiner.

«La minería de criptomonedas en la red de una organización puede provocar la degradación del rendimiento del sistema, un mayor consumo de energía, el sobrecalentamiento del equipo y puede detener los servicios. Permite el acceso de los actores de amenazas para fines aún más nefastos», dijeron los investigadores.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *