El grupo de Hackers conocido como TeamTNT parece estar preparándose para una nueva campaña a gran escala dirigida a entornos nativos de la nube utilizados para minar criptomonedas y alquilar servidores ya vulnerados a sus clientes.

"El grupo está apuntando actualmente a los Dockers expuestos para implementar el malware Sliver, un gusano cibernético, utilizando servidores comprometidos y Docker Hub como infraestructura para propagar su malware", dijo Assaf Morag, director de inteligencia de amenazas de la firma de seguridad en la nube Aqua, en un informe publicado el viernes.

La actividad de ataque es una vez más un testimonio de la persistencia del actor de la amenaza y su capacidad para desarrollar sus tácticas y montar ataques de múltiples etapas con el objetivo de comprometer los entornos Docker y prepararlos para ser un enjambre Docker.

Además de utilizar Docker Hub para alojar y distribuir sus cargas maliciosas, se ha observado que TeamTNT ofrece el poder computacional de las víctimas a sus clientes para la minería ilícita de criptomonedas, diversificando así su estrategia de monetización.

Los rumores sobre la campaña de ataque surgieron a principios de este mes cuando Datadog reveló intentos maliciosos de acorralar instancias de Docker infectadas en un enjambre de Docker, aludiendo a que podría ser obra de TeamTNT, aunque sin llegar a hacer una atribución formal.

Los ataques implican la identificación de puntos finales de API de Docker no autenticados y expuestos mediante masscan y ZGrab y su uso para la implementación de criptominería y la venta de la infraestructura comprometida a otros en una plataforma de alquiler de minería llamada Mining Rig Rentals, eliminando el trabajo de tener que administrarlos ellos mismos, una señal de la maduración del modelo comercial ilícito.

En concreto, esto se lleva a cabo mediante un script de ataque que escanea en busca de daemons Docker en los puertos 2375, 2376, 4243 y 4244 en casi 16,7 millones de direcciones IP. Posteriormente, despliega un contenedor que ejecuta una imagen de Alpine Linux con comandos maliciosos.

La imagen, recuperada de una cuenta de Docker Hub comprometida ("nmlm99″) bajo su control, también ejecuta un script de shell inicial llamado Docker Gatling Gun ("TDGGinit.sh") para lanzar actividades posteriores a la explotación.
Un cambio notable observado por Aqua es el paso de la puerta trasera Tsunami al marco de comando y control (C2) de código abierto Sliver para controlar de forma remota los servidores infectados.

Autor:
Ramon Antonio Vicente Espinal