De cryptojacking-operatie die bekend staat als TeamTNT is waarschijnlijk weer opgedoken als onderdeel van een nieuwe campagne die gericht is op Virtual Private Server (VPS)-infrastructuren gebaseerd op het CentOS-besturingssysteem.
“De eerste toegang werd verkregen via een Secure Shell (SSH) brute force-aanval op de activa van het slachtoffer, waarbij de aanvaller een schadelijk script uploadde”, aldus Vito Alfano en Nam Le Phuong, onderzoekers van Group-IB, in een rapport van woensdag.
Het schadelijke script is volgens het Singaporese cybersecuritybedrijf verantwoordelijk voor het uitschakelen van beveiligingsfuncties, het verwijderen van logs, het beëindigen van cryptocurrency-miningprocessen en het verhinderen van herstelpogingen.
De aanvalsketens maken uiteindelijk de weg vrij voor de implementatie van de Diamorphine-rootkit om schadelijke processen te verbergen en tegelijkertijd permanente externe toegang tot de gecompromitteerde host in te stellen.
De campagne wordt met redelijke zekerheid toegeschreven aan TeamTNT, waarbij overeenkomsten worden genoemd in de waargenomen tactieken, technieken en procedures (TTP’s).
TeamTNT werd voor het eerst in het wild ontdekt in 2019, toen het illegale cryptocurrency mining-activiteiten uitvoerde door cloud- en containeromgevingen te infiltreren. Terwijl de dreigingsactor in november 2021 afscheid nam door een “clean quit” aan te kondigen, heeft openbare verslaggeving verschillende campagnes blootgelegd die door de hackersploeg zijn ondernomen sinds september 2022.
De laatste activiteit die aan de groep is gekoppeld, manifesteert zich in de vorm van een shellscript dat eerst controleert of het eerder is geïnfecteerd door andere cryptojacking-operaties. Daarna wordt de beveiliging van het apparaat aangetast door SELinux, AppArmor en de firewall uit te schakelen.
“Het script zoekt naar een daemon gerelateerd aan de cloudprovider Alibaba, genaamd aliyun.service,” aldus de onderzoekers. “Als het deze daemon detecteert, downloadt het een bash-script van update.aegis.aliyun.com om de service te verwijderen.”
Naast het beëindigen van alle concurrerende cryptocurrency-miningprocessen, voert het script een reeks opdrachten uit om sporen van andere miners te verwijderen, containerprocessen te beëindigen en images te verwijderen die zijn geïmplementeerd in verband met coinminers.
Bovendien wordt persistentie gecreëerd door cron-taken te configureren die het shell-script elke 30 minuten downloaden van een externe server (65.108.48(.)150) en door het bestand “/root/.ssh/authorized_keys” aan te passen om een backdoor-account toe te voegen.
“Het vergrendelt het systeem door bestandskenmerken te wijzigen, een backdoor-gebruiker met root-toegang te creëren en de opdrachtgeschiedenis te wissen om zijn activiteiten te verbergen,” merkten de onderzoekers op. “De dreigingsactor laat niets aan het toeval over; het script implementeert namelijk verschillende wijzigingen binnen de SSH- en firewall-serviceconfiguratie.”