19 de septiembre de 2024Ravie LakshmananCryptojacking / Seguridad en la nube La operación de cryptojacking conocida como TeamTNT probablemente haya resurgido como parte de una nueva campaña dirigida a las infraestructuras de servidores privados virtuales (VPS) basadas en el sistema operativo CentOS. «El acceso inicial se logró a través de un ataque de fuerza bruta de Secure Shell (SSH) a los activos de la víctima, durante el cual el actor de la amenaza cargó un script malicioso», dijeron los investigadores de Group-IB Vito Alfano y Nam Le Phuong en un informe del miércoles. El script malicioso, señaló la empresa de ciberseguridad de Singapur, es responsable de deshabilitar las funciones de seguridad, eliminar registros, finalizar los procesos de minería de criptomonedas e inhibir los esfuerzos de recuperación. Las cadenas de ataque finalmente allanan el camino para la implementación del rootkit Diamorphine para ocultar los procesos maliciosos, al mismo tiempo que configuran un acceso remoto persistente al host comprometido. La campaña se ha atribuido a TeamTNT con moderada confianza, citando similitudes en las tácticas, técnicas y procedimientos (TTP) observados. TeamTNT fue descubierto por primera vez en 2019, realizando actividades ilícitas de minería de criptomonedas infiltrándose en entornos de nube y contenedores. Si bien el actor de amenazas se despidió en noviembre de 2021 al anunciar un «abandono total», los informes públicos han descubierto varias campañas llevadas a cabo por el equipo de piratas informáticos desde septiembre de 2022. La última actividad vinculada al grupo se manifiesta en forma de un script de shell que primero verifica si fue infectado previamente por otras operaciones de cryptojacking, después de lo cual procede a perjudicar la seguridad del dispositivo deshabilitando SELinux, AppArmor y el firewall. Cambios implementados en el servicio ssh «El script busca un daemon relacionado con el proveedor de la nube Alibaba, llamado aliyun.service», dijeron los investigadores. «Si detecta este daemon, descarga un script bash de update.aegis.aliyun.com para desinstalar el servicio». Además de eliminar todos los procesos de minería de criptomonedas que compiten entre sí, el script toma medidas para ejecutar una serie de comandos para eliminar los rastros dejados por otros mineros, finalizar los procesos en contenedores y eliminar las imágenes implementadas en conexión con cualquier minero de monedas. Además, establece la persistencia configurando trabajos cron que descargan el script de shell cada 30 minutos desde un servidor remoto (65.108.48[.]150) y modificando el archivo «/root/.ssh/authorized_keys» para agregar una cuenta de puerta trasera. «Bloquea el sistema modificando los atributos del archivo, creando un usuario de puerta trasera con acceso root y borrando el historial de comandos para ocultar sus actividades», señalaron los investigadores. «El actor de la amenaza no deja nada al azar; de hecho, el script implementa varios cambios dentro de la configuración del servicio SSH y del firewall». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.