سرقت گذرواژه لینوکس در Crypto-mining ممکن شد
کد مطلب: 17115
تاریخ انتشار : سه شنبه ۲۲ مهر ۱۳۹۹ ساعت ۱۶:۵۹
 
توسعه‌دهندگان بدافزار Crypto-mining توانستند قابلیت سرقت گذرواژه لینوکس را به آن بیفزایند.
سرقت گذرواژه لینوکس در Crypto-mining ممکن شد
 
 
Share/Save/Bookmark
توسعه‌دهندگان بدافزار Crypto-mining توانستند قابلیت سرقت گذرواژه لینوکس را به آن بیفزایند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروه جرایم اینترنتی TeamTNT به تازگی Crypto-mining را با قابلیت سرقت رمز عبور و یک اسکنر شبکه به‌روز کرده است تا گسترش آن را در سایر دستگاه های آسیب پذیر آسان کند. در حالی که این عمل بیشتر به خاطر هدف قرار دادن موارد Docker برای استفاده از سیستم های به خطر افتاده برای رمزگشایی غیر مجاز (Monero (XMR مشهور است، این گروه اکنون با به‌روزرسانی بدافزار cryptojacking تاکتیک‌های خود را تغییر داده و همچنین اعتبار کاربر را جمع‌آوری می‌کند.

محققان دریافتند که TeamTNT در تلاش برای افزایش توانایی بدافزارهایشان با قابلیت‌های حذف رمز عبور هستند.

Black-T، هر نوع رمز عبور ساده را که در حافظه سیستم‌های آسیب‌دیده پیدا و جمع کرده و آنها را به سرورهای کنترل و دستورTeamTNT تحویل می دهد.

ناتانیل کوئست، یک محقق است، وی در گزارشی گفت: «این اولین‌بار است که عاملان TeamTnT این نوع عملیات را پس از بهره‌برداری در TTPs خود گنجانده اند. مانند اسناد و مدارک سرقت شده AWS که توسط عاملان TeamTnT نیز ضبط شده است، این مدارک به احتمال زیاد برای عملیات مورد هدف سازمان مدیریت API Docker استفاده می‌شود.»
این گروه همچنین اسکنر شبکه zgrab GoLang را به کرم رمزگشایی Black-T، سومین اسکنر بالای pnscan و masscan، اضافه کرده است.

اسکنر masscan که توسط Black-T استفاده شده برای هدف قرار دادن پورت ۵۵۵۵ TCP به روز شده که ممکن است به TeamTnT اشاره کند و به صورت بالقوه دستگاه های اندرویدی را هدف قرار می دهد ، اگرچه شواهد در این مورد در حال حاضر بسیار ناچیز است.

رمزگشایی بات‌نت توسط این گروه اولین‌بار در ماه مه توسط MalwareHunterTeam مشاهده شد و بعدها توسط Trend Micro مورد بررسی قرار گرفت.

در ماه آگوست، محققان Cado Security اولین گروهی بودند که ویژگی جدید سرقت اطلاعات AWS کرم TeamTNT را ردیابی کردند و این اولین بدافزار مخفی cryptojacking با چنین قابلیتی بود.

ماه گذشته، TeamTNT توسط Intezer در حملاتی مشاهده شد که در آن متن‌باز Weave Scope را برای نقشه‌برداری از فرایندهای در حال اجرا، کانتینرها و میزبان ها در سرورهای به خطر افتاده و همچنین کنترل برنامه‌های نصب شده، مستقر کرد.
از آنجا که Weave Scope با Docker ،‌Kubernetes‌، سیستم عامل (Distributed Cloud (DC/OS و AWS Elastic Compute Cloud یا (ECS) ادغام می‌شود به آنها این امکان را می‌دهد تا کنترل کامل زیرساخت‌های cloud قربانی را به‌دست آورند.

با ترکیب همه این تاکتیک‌ها ، تکنیک‌ها و رویه‌ها (TTP،TeamTNT) با استفاده از بات‌نت سرورهای به خطر افتاده برای اسکن محیط‌های ابری با نصب Kubernetes و Docker با API ها با کمک اسکنرهای شبکه masscan ، pnscan و یا zgrab می‌پردازد.

هنگامی که بدافزار با موفقیت یک سرور را با پیکربندی نامناسب آلوده می‌کند، خود را در محفظه‌های جدید مستقر می‌کند و باینری payload مخرب را نصب می‌کند که فرایند رمزگشایی را برای (cryptocurrency Monero (XMR آغاز می‌کند.
مرجع : مرکز مدیریت راهبردی افتا