Σύμβαση ΟΗΕ κατά της εγκληματικότητας στον κυβερνοχώρο
17 Σεπτεμβρίου, 2024Ποιά είναι η εξήγηση πίσω από τις εκρήξεις βομβητών στον Λίβανο; Πρόκειται για κυβερνοεπίθεση;
20 Σεπτεμβρίου, 2024Η εκστρατεία cryptojacking “TeamTNT” επανεμφανίστηκε, στοχεύοντας υποδομές VPS που τρέχουν σε CentOS servers.
Οι ερευνητές της Group-IB, Vito Alfano και Nam Le Phuong, ανέφεραν ότι η αρχική πρόσβαση επιτεύχθηκε μέσω brute force επίθεσης στο SSH, όπου ο χάκερ ανέβασε κακόβουλο script. Αυτό το script απενεργοποιεί λειτουργίες ασφαλείας, διαγράφει αρχεία καταγραφής, τερματίζει διαδικασίες εξόρυξης κρυπτονομισμάτων και εμποδίζει τις προσπάθειες ανάκτησης. Οι επιθέσεις αυτές οδηγούν στην ανάπτυξη του rootkit Diamorphine, που αποκρύπτει κακόβουλες διεργασίες και επιτρέπει απομακρυσμένη πρόσβαση στον παραβιασμένο κεντρικό υπολογιστή.
Η TeamTNT ανακαλύφθηκε το 2019 και ασκούσε παράνομες δραστηριότητες εξόρυξης κρυπτονομισμάτων σε περιβάλλοντα cloud και containers. Παρά την «παραίτηση» του χάκερ το 2021, εκστρατείες από την ίδια ομάδα συνεχίστηκαν το 2022.
Η πιο πρόσφατη δραστηριότητα περιλαμβάνει ένα shell script που ελέγχει για προηγούμενη μόλυνση, υποβαθμίζει την ασφάλεια απενεργοποιώντας το SELinux και το τείχος προστασίας, και αναζητά ένα “δαιμόνιο” σχετικό με τον πάροχο cloud Alibaba. Το script εξαλείφει ανταγωνιστικές διαδικασίες εξόρυξης, κρύβει τα ίχνη άλλων miners, και δημιουργεί cron jobs για να διατηρήσει την επιμονή του.
«Κλειδώνει το σύστημα τροποποιώντας τα χαρακτηριστικά του αρχείου, δημιουργεί έναν χρήστη backdoor με δικαιώματα root, επιτρέποντας μη εξουσιοδοτημένη πρόσβαση στο σύστημα, και διαγράφει το ιστορικό εντολών για να κρύψει τις δραστηριότητές του, αποτρέποντας έτσι την ανίχνευση από τους διαχειριστές συστήματος και διασφαλίζοντας τη διαρκή παρουσία του στο σύστημα χωρίς να γίνει αντιληπτός.»