TeamTNT возобновила атаки, нацелившись на серверы CentOS

Киберпреступники из группы TeamTNT активизировали новую кампанию против серверов на базе операционной системы CentOS. Исследователи из сингапурской кибербезопасной компании Group-IB сообщают, что доступ к серверам был получен через атаку «грубой силой» по SSH (Secure Shell). Во время атаки на сервера загружается вредоносный скрипт.

Этот скрипт отключает защитные механизмы, удаляет журналы событий, завершает процессы, связанные с добычей криптовалют, и мешает восстановлению системы. В конечном итоге, скрипт устанавливает rootkit под названием Diamorphine, что помогает скрыть зловредные процессы и обеспечить постоянный доступ к зараженному хосту.

Кампания была приписана группе TeamTNT с умеренной уверенностью на основе сходства используемых методов и техник. TeamTNT известна своими атаками на облачные и контейнерные среды, начиная с 2019 года, и несмотря на объявленный в 2021 году «чистый уход», продолжает свою деятельность.

Кроме того, скрипт ищет процессы, связанные с облачным провайдером Alibaba, и если обнаруживает сервис aliyun.service, то загружает и выполняет bash-скрипт для его удаления. Скрипт также удаляет все конкурирующие процессы майнинга, очищает следы других майнеров и настраивает задачи в cron для регулярной загрузки вредоносного скрипта каждые 30 минут.