Криптоджекинг на CentOS: Group-IB раскрывает детали атак

Почему системные логи бесследно исчезают со взломанных серверов?


7pysaj4ymqim339jdymoeilgeo2g3fk1.jpg


Группа киберпреступников TeamTNT снова активизировалась и запустила новую кампанию по криптоджекингу, нацелившись на серверы с операционной системой CentOS. По данным компании Group-IB , злоумышленники используют брутфорс-атаки через SSH для проникновения на виртуальные серверы.

После получения доступа хакеры загружают вредоносный скрипт, который отключает защитные механизмы, удаляет логи, останавливает конкурирующие процессы майнинга и препятствует восстановлению системы. В результате этой цепочки действий хакеры устанавливают руткит Diamorphine, скрывающий зловредные процессы и обеспечивающий удалённый доступ ко взломанным хостам.

С умеренной уверенностью исследователи приписывают выявленные атаки группе TeamTNT из-за схожести тактик и методов, которые использовались в её прошлых операциях. TeamTNT впервые была замечена в 2019 году за проведением незаконного майнинга криптовалют на облачных и контейнерных платформах. В 2021 году группа заявила о завершении своей деятельности, однако с 2022 года фиксируются всё новые и новые атаки, приписываемые этой группе.

В новой кампании вредоносный скрипт первым делом проверяет заражённую систему на следы других криптоджекинговых операций. Затем он отключает системы безопасности, такие как SELinux, AppArmor и файервол. Особое внимание злоумышленники уделили сервису «aliyun.service», связанному с облачным провайдером Alibaba. Если этот сервис обнаружен, скрипт загружает команды для его удаления, освобождая ресурсы для собственных операций.

Как уже отмечалось выше, скрипт устраняет конкурентов, убивая процессы других майнеров и удаляя их контейнеры, а также связанные с ними образы. Для сохранения контроля за сервером злоумышленники настраивают cron-задачи, которые каждые 30 минут загружают обновления с удалённого сервера. Кроме того, они изменяют файл авторизации SSH, добавляя учётную запись с правами root для постоянного доступа.

Чтобы скрыть следы своей активности, преступники изменяют атрибуты файлов, создают учётные записи с доступом администратора и стирают историю команд.

Продолжающиеся атаки TeamTNT наглядно показывают: затишье в киберпространстве — иллюзия. Хакеры не исчезают, а совершенствуются. Каждый сервер — потенциальная мишень, и его защита требует постоянных усилий.