17 Февраля 2025 08:21 17 Фев 2025 08:21 |

Поделиться

Группировка TeamTNT активизировалась и атакует VPS-серверы под CentOS

Со средней степенью уверенности

Эксперты Group-IB заявили об обнаружении масштабной киберкампании, нацеленной на виртуальные частные серверы под управлением операционной системы CentOS. Злоумышленники используют для взлома брутфорс-атаки, после чего в скомпрометированную инфраструктуру загружается продвинутый руткит. Учитывая, что за кампанией, скорее всего, стоит хакерская группировка TeamTNT, конечной целью является установка криптомайнеров.

CentOS – это вариант Linux, ориентированный на использование в корпоративном секторе. С 2014 по 2021 гг. разработка CentOS велась под крылом Red Hat, однако в 2020 г. было объявлено о сворачивании проекта. Последний релиз датирован 2021 г. К настоящему моменту поддержка CentOS прекращена. Но это не значит, что ее не используют: в мире остается немало виртуальных серверов, продолжающих функционировать на базе CentOS. А поскольку речь идет об облачных ресурсах, для операторов криминальных криптомайнеров это лакомая цель.

Кибергруппировка ушла и вернулась

Как указывается в публикации Group-IB, нынешняя кампания, скорее всего, осуществляется кибергруппировкой TeamTNT. В 2019-2022 гг. эта группа активно занималась взломом облачных контейнеров Docker и Kubernetes с последующей установкой в них криптомайнеров. Однако в ноябре 2021 г. она объявила о прекращении деятельности и забросила свои аккаунты в соцсетях.

Тем не менее, методы, процедуры и тактика, идентичные деятельности TeamTNT, наблюдались и позднее, что и привело экспертов Group-IB к выводу, что нынешняя кампания проводится той же группировкой. В опубликованном анализе, впрочем, не говорится о том, какие криптомайнеры используют хакеры и устанавливают ли они что-либо вообще.

Исследование фокусируется на скрипте, нейтрализующим какие-либо криптомайнеры в атакованной системе, и рутките Diamorphine, используемом для сокрытия следов.

Крайняя скрупулезность

После получения доступа к серверу злоумышленники загружают в него shell-скрипт, который проверяет, устанавливались ли в систему какие-либо криптомайнеры, а затем нейтрализует средства защиты, в частности, отключает SELinux, AppArmor и файерволл.

Кроме того, он пытается найти сетевую службу aliyun.service, связанную с облачным провайдером Alibaba. Если он его находит, с ресурса update.aegis.aliyun.com загружается bash-скрипт, который отключает службу. Помимо этого скрипт останавливает все обнаруженные процессы, связанные с криптомайнерами, в том числе контейнированные, а также выполняет ряд команд по устранению из системы любых следов, оставленных майнерами, и удаляет любые образы, установленные майнерами. Затем скрипт формирует задачу cron, которая обеспечивает перезакачивание самого скрипта с удаленного сервера (IP-адрес 65.108.48.150) каждые полчаса, и модифицирует файл /root/.ssh/authorized_keys, чтобы открыть возможность создания аккаунта-бэкдора. Любопытно, что скрипт меняет дату создания файла crontab так, чтобы казалось, будто он был создан 5 мая 2018 г. Очевидно, это сделано для того, чтобы затруднить поиск следов вредоноса.

Скрипт также разворачивает в системе самописный инструмент tntrecht (чье название – еще одно подтверждение, что за атакой стоит TeamTNT). Этот инструмент меняет разрешения у легитимных процессов и переименовывает их с добавлением приставки tnt: например, tntcurl или tntwget. Следом за этим скрипт скачивает с GitHub три файла, содержащие исходный код руткита Diamorphine, и компилирует и запускает его. Руткит позволяет скрывать любые процессы, файлы и каталоги, и создавать новые административные аккаунты.

Развернув данный руткит, злоумышленники используют tntrecht для блокировки определенных системных файлов. В результате легитимные администраторы теряют доступ к системе, а восстановление нормальной работоспособности оказывается невозможным. Легитимный администратор не может ни перезагрузить, ни отключить виртуальный сервер, ни получить к нему доступ. На последнем этапе создается новый root-аккаунт, доступ к которому осуществляется через SSH.

Как отмечают исследователи Group-IB, злоумышленники действуют очень скрупулезно, не оставляя ничего без внимания. Они даже заменяют настройки SSH и файерволла на свои собственные, а также удаляют всю историю исполненных команд.

«Все эти операции – не что иное, как подготовка ресурса к длительному использованию в качестве источника вычислительных мощностей, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Криптомайнеры забирают большую часть процессорного времени, так что их удаление вполне логично. Может статься, злоумышленники готовят своего рода VPS-ботнет, который они затем будут использовать для генерации криптовалют самостоятельно – или для сдачи в аренду».

Эксперты Group-IB указывают, что продолжают исследование новой кампании в надежде найти дополнительные артефакты.

Техника безопасности для пользователей

Пока же пользователям VPS-серверов под CentOS рекомендовано настроить файерволлы так, чтобы допускать лишь минимально необходимый набор соединений и служб, обновить все и вся, а также сменить предустановленный SSH-порт на более высокое значение – 10 тыс. или выше; злоумышленники обычно сканируют порты в диапазоне 1-1024, и выше не забираются.

Также рекомендуется ограничить root-доступ, разрешения cron, sudo, перенастроить SSH-доступ так, чтобы его можно было получать только по ключам безопасности и только с определенных IP-адресов, и установить средства, препятствующие перебору логинов-паролей (брут-форсу).

Роман Георгиев

Поделиться

Короткая ссылка