Los investigadores de seguridad han encontrado nuevas pruebas de la actividad de TeamTNT que se remontan a 2023, a pesar de la creencia generalizada de que el grupo «se evaporó» en 2022. TeamTNT era un actor de amenazas prolífico conocido por los ataques de cryptojacking, que utilizan los recursos de TI de las víctimas para minar criptomonedas ilegalmente. El actor, probablemente de habla alemana, surgió por primera vez en 2019 y se hizo famoso por su «malware casero que utiliza un conjunto de herramientas completo de scripts de shell y binarios maliciosos», según Group-IB. Se dirigiría a instancias públicas vulnerables de Redis, Kubernetes y Docker, robando credenciales e instalando puertas traseras en sus campañas de cryptojacking. Leer más sobre TeamTNT: Los expertos advierten sobre los inminentes ataques Docker de TeamTNT Publicado ayer, el último informe de Group-IB reveló una superposición de las tácticas, técnicas y procedimientos (TTP) de TeamTNT con campañas en curso que se remontan al año pasado. “El equipo DFIR de Group-IB identificó evidencia clara de una nueva campaña que impacta las infraestructuras de nube VPS basadas en sistemas operativos CentOS”, dijo. “La investigación reveló que el acceso inicial se logró a través de un ataque de fuerza bruta Secure Shell (SSH) a los activos de la víctima, durante el cual el actor de la amenaza cargó un script malicioso. Nuestros expertos de DFIR analizaron el script, que, una vez ejecutado, verifica si el host ya ha sido comprometido buscando rastros de registros generados por otros mineros”. El script malicioso también deshabilita las funciones de seguridad, elimina registros y modifica los archivos del sistema, según el informe. Mata cualquier proceso de minería de criptomonedas que descubra, elimina los contenedores Docker y actualiza la configuración de DNS en los servidores de Google. Group-IB agregó que el script instala el rootkit “Diamorphine” para privilegios ocultos y de root, y utiliza herramientas personalizadas para mantener la persistencia y el control. “Bloquea el sistema modificando los atributos de los archivos, creando un usuario de puerta trasera con acceso de root y borrando el historial de comandos para ocultar sus actividades”, dijo Group-IB. “Todo el análisis subraya las habilidades avanzadas de TeamTNT para automatizar sus ataques y considerar cada aspecto y detalle, desde el acceso inicial hasta la prevención de intentos de recuperación, con el objetivo de infligir un daño significativo a la víctima”.