Ранее неизвестный штамм сохраняется даже после перезагрузки системы и остаётся невидимым.
Специалисты ИБ-компании Monero на скомпрометированных системах.
Согласно отчёту Cado Security, артефакт, загруженный на VirusTotal, имеет несколько синтаксических и семантических сходств с предыдущими полезными нагрузками TeamTNT и включает в себя идентификатор кошелька, который ранее приписывался группе.
Группировка TeamTNT, активная как минимум с 2019 года, неоднократно атаковала облачные и контейнерные среды для развертывания майнеров криптовалюты. Также известно, что хакеры запускают в систему червя для майнинга криптовалют, способного похищать учетные данные AWS.
Сценарий оболочки выполняет подготовительные шаги для:
- перенастройки жестких ограничений на использование ресурсов;
- предотвращения регистрации истории команд;
- приема всего входящего и исходящего трафика;
- перечисления аппаратных ресурсов;
- очистки предыдущих компрометаций перед началом атаки.
Вредоносная полезная нагрузка TeamTNT также использует метод под названием «перехват динамического компоновщика» (libprocesshider , который использует переменную среды LD_PRELOAD.
Постоянство достигается тремя различными способами, один из которых изменяет файл «.profile», чтобы гарантировать, что майнер продолжает работать при перезагрузке системы.
Майнинг криптовалюты в сети организации может привести к ухудшению производительности системы, повышенному энергопотреблению, перегреву оборудования и остановке сервисов. Это позволяет злоумышленникам получить доступ для дальнейших злонамеренных действий.
