TeamTNT возобновила атаки, нацелившись на серверы CentOS

20.09.2024
TeamTNT возобновила атаки, нацелившись на серверы CentOS

Киберпреступники из группы TeamTNT активизировали новую кампанию против серверов на базе операционной системы CentOS. Исследователи из сингапурской кибербезопасной компании Group-IB сообщают, что доступ к серверам был получен через атаку «грубой силой» по SSH (Secure Shell). Во время атаки на сервера загружается вредоносный скрипт.

Этот скрипт отключает защитные механизмы, удаляет журналы событий, завершает процессы, связанные с добычей криптовалют, и мешает восстановлению системы. В конечном итоге, скрипт устанавливает rootkit под названием Diamorphine, что помогает скрыть зловредные процессы и обеспечить постоянный доступ к зараженному хосту.

Кампания была приписана группе TeamTNT с умеренной уверенностью на основе сходства используемых методов и техник. TeamTNT известна своими атаками на облачные и контейнерные среды, начиная с 2019 года, и несмотря на объявленный в 2021 году «чистый уход», продолжает свою деятельность.

Кроме того, скрипт ищет процессы, связанные с облачным провайдером Alibaba, и если обнаруживает сервис aliyun.service, то загружает и выполняет bash-скрипт для его удаления. Скрипт также удаляет все конкурирующие процессы майнинга, очищает следы других майнеров и настраивает задачи в cron для регулярной загрузки вредоносного скрипта каждые 30 минут.


Популярные материалы