TeamTNT развертывает атаку вредоносного ПО Kangaroo на биткойн, нацеленную на взлом шифрования

Вредоносная программа teamtnt kangaroo атакует биткойн новости
Исследователи из Aqua Security обнаружили кибератаки , которые, по-видимому, были проведены TeamTNT, злоумышленником, ранее считавшимся несуществующим. Исследователи столкнулись с тремя различными атаками, каждая из которых выглядит новой. Одна из этих атак, которую исследователи назвали «атакой кенгуру», примечательна использованием распределенной вычислительной мощности в попытке взломать шифрование, лежащее в основе биткойна.

TeamTNT была злоумышленником, хорошо умеющим взламывать облачные среды. В атаках злоумышленника использовались невиданные ранее методы и эксплойты, поскольку TeamTNT разработала собственный набор инструментов, а не полагалась на те же методы, которые используются многими другими злоумышленниками. Проработав таким образом почти два года, TeamTNT объявила о своем уходе в ноябре 2021 года. Впоследствии злоумышленник прекратил разработку и развертывание нового вредоносного ПО . Тем не менее злоумышленник не отключил свою инфраструктуру, оставив существующее вредоносное ПО для дальнейшего распространения.

новости об атаке кенгуру
Цепочка убийств при атаке кенгуру от TeamTNT (источник: Aqua Security )

Теперь, почти через год после того, как TeamTNT объявила о завершении своей карьеры, три новых вредоносных кампании указывают на TeamTNT как на автора. Две из этих атак, атака Kangaroo и атака What Will Be, нацелены на неправильно настроенные демоны Docker и устанавливают образы контейнеров Alpine Linux, которые загружают и запускают вредоносные сценарии оболочки. Сценарий, запущенный в атаке What Will Be, использует уязвимость для выхода из образа и компрометации хоста. Дальнейшие сценарии оболочки затем планируют задания cron и устанавливают руткиты и криптомайнеры. Третья атака, получившая название Cronb, не совсем нова, но использует новые адреса серверов C2 по сравнению с предыдущими атаками. Он используется для бокового доступа по сети, сохранения и установки руткитов и криптомайнеров, таких как What Will Be.

Однако, в то время как две другие атаки заражают системы жертв для майнинга криптовалюты, атака Kangaroo делает что-то противоположное. Он использует зараженные среды для запуска алгоритма решения, предназначенного для взлома шифрования SECP256K1, лежащего в основе Биткойн. Взлом этого шифрования на современных компьютерах считается практически невыполнимой задачей, но атака Кенгуру в любом случае ставит перед скомпрометированными средами задачу сделать это. Алгоритм решателя разбивает работу на более мелкие задачи, что позволяет TeamTNT потенциально одновременно использовать много украденных компьютерных мощностей, распределяя разные фрагменты для каждой системы, скомпрометированной в результате атаки. Тем не менее, взломать шифрование Биткойна таким способом все еще очень маловероятно, что делает эту конкретную атаку несколько странной. Это’

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал