黑客組織TeamTNT重新活躍

安全公司Group-IB近日發(fā)布報(bào)告指出，曾經(jīng)在2022年消失的黑客組織TeamTNT已經(jīng)重返網(wǎng)絡(luò)，并重新開始其攻擊活動(dòng)。這次，TeamTNT特別鎖定了運(yùn)行CentOS操作系統(tǒng)的VPS服務(wù)器，利用這些服務(wù)器進(jìn)行數(shù)字貨幣挖掘。

攻擊手法

TeamTNT通過SSH連接到目標(biāo)主機(jī)，并采用暴力破解的方式獲取初始訪問權(quán)限。成功登錄后，黑客上傳惡意腳本，這些腳本會(huì)禁用其他數(shù)字貨幣挖掘軟件，停用防火墻，刪除系統(tǒng)事件記錄，并部署名為Diamorphine的rootkit工具。Diamorphine工具使得黑客能夠隱蔽地控制受害服務(wù)器，并用其進(jìn)行挖礦活動(dòng)。

對(duì)抗措施

安全公司提醒，相關(guān)腳本還會(huì)檢查VPS中是否存在阿里巴巴的安全防護(hù)機(jī)制aliyun.service，并在發(fā)現(xiàn)后嘗試移除，這表明TeamTNT有意避開某些安全防護(hù)措施。用戶和組織被建議加強(qiáng)對(duì)CentOS服務(wù)器的安全防護(hù)，定期更新系統(tǒng)和應(yīng)用程序，以及使用強(qiáng)密碼和多因素認(rèn)證來減少被攻擊的風(fēng)險(xiǎn)。同時(shí)，監(jiān)控網(wǎng)絡(luò)流量和系統(tǒng)日志，以便及時(shí)發(fā)現(xiàn)和響應(yīng)潛在的安全威脅，也是非常重要的安全措施。

深入研究

TeamTNT組織主要針對(duì)哪些類型的系統(tǒng)發(fā)起攻擊？

TeamTNT組織攻擊的系統(tǒng)類型

TeamTNT組織主要針對(duì)多種云環(huán)境和平臺(tái)發(fā)起攻擊，這些系統(tǒng)類型包括：

• AWS (Amazon Web Services)：TeamTNT利用各種手段竊取AWS憑證，并在AWS環(huán)境中部署惡意軟件。
• Docker：該組織利用Docker遠(yuǎn)程API的未授權(quán)訪問漏洞進(jìn)行攻擊，并在受影響的系統(tǒng)中安裝惡意容器。
• GCP (Google Cloud Platform)：作為云環(huán)境的一部分，GCP也是TeamTNT攻擊的目標(biāo)之一。
• Linux：TeamTNT開發(fā)了專門針對(duì)Linux系統(tǒng)的惡意軟件和工具。
• Kubernetes：該組織特別針對(duì)Kubernetes集群，利用其弱點(diǎn)進(jìn)行加密劫持和橫向移動(dòng)感染。
• Windows：雖然主要集中在Linux系統(tǒng)上，但TeamTNT的活動(dòng)也擴(kuò)展到了Windows環(huán)境。

TeamTNT通過這些攻擊手段，旨在建立僵尸網(wǎng)絡(luò)、進(jìn)行加密貨幣挖礦、竊取敏感數(shù)據(jù)以及發(fā)起分布式拒絕服務(wù)（DDoS）攻擊等非法活動(dòng)。

Diamorphine rootkit有什么功能特點(diǎn)？

Diamorphine rootkit的功能特點(diǎn)

Diamorphine rootkit是一個(gè)針對(duì)Linux系統(tǒng)的內(nèi)核級(jí)別rootkit，具有以下功能特點(diǎn)：

1. 隱蔽性：Diamorphine在加載時(shí)能夠隱藏自身，使得通過lsmod命令無法檢測到該模塊的存在。
2. 進(jìn)程控制：通過發(fā)送特定信號(hào)，Diamorphine可以控制進(jìn)程的可見性，使進(jìn)程既可以被隱藏也可以被顯示。
3. 權(quán)限提升：該rootkit能夠向任何進(jìn)程發(fā)送信號(hào)，從而將普通用戶提升為root權(quán)限。
4. 文件隱藏：Diamorphine可以隱藏以特定前綴（MAGIC_PREFIX）開頭的文件或目錄，使得這些文件不會(huì)出現(xiàn)在常規(guī)的文件系統(tǒng)瀏覽中。
5. 系統(tǒng)調(diào)用攔截：通過掛鉤系統(tǒng)調(diào)用，如getdents和getdents64，Diamorphine可以修改文件列表數(shù)據(jù)，進(jìn)一步增強(qiáng)其隱蔽性。
6. 遠(yuǎn)程控制：Diamorphine可能包含用于遠(yuǎn)程控制的機(jī)制，允許攻擊者執(zhí)行更復(fù)雜的操作，如加密貨幣挖掘或數(shù)據(jù)竊取。
7. 兼容性：Diamorphine設(shè)計(jì)用于支持多種Linux內(nèi)核版本，包括2.6.x、3.x和4.x，這增加了其潛在的攻擊面。

Diamorphine rootkit的這些功能使其成為一個(gè)強(qiáng)大的惡意軟件工具，能夠在感染后為攻擊者提供深入系統(tǒng)核心的能力，同時(shí)規(guī)避常規(guī)的安全檢測手段。

如何防范TeamTNT組織的攻擊行為？

TeamTNT組織及其攻擊手段

TeamTNT是一個(gè)知名的網(wǎng)絡(luò)犯罪組織，專門從事利用漏洞進(jìn)行惡意軟件部署和加密貨幣挖礦活動(dòng)。他們的攻擊通常涉及對(duì)服務(wù)器和云基礎(chǔ)設(shè)施的滲透，以及通過各種手段獲取未授權(quán)訪問權(quán)限。

防范措施

為了有效防范TeamTNT組織的攻擊行為，您可以采取以下措施：

1. 及時(shí)更新系統(tǒng)和應(yīng)用程序：確保所有系統(tǒng)和應(yīng)用程序都安裝了最新的安全補(bǔ)丁，以減少被已知漏洞利用的風(fēng)險(xiǎn)。
2. 強(qiáng)化密碼策略：使用復(fù)雜的密碼并定期更換，避免使用默認(rèn)密碼或容易被猜測的密碼組合。
3. 多因素認(rèn)證：在可能的情況下啟用多因素認(rèn)證，增加賬戶安全性。
4. 監(jiān)控異常活動(dòng)：定期檢查系統(tǒng)日志，監(jiān)控可疑的登錄嘗試和未經(jīng)授權(quán)的文件更改。
5. 限制不必要的服務(wù)和端口：關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)和端口，減少潛在的攻擊面。
6. 數(shù)據(jù)備份：定期備份重要數(shù)據(jù)，并確保備份存儲(chǔ)在安全的位置，以便在遭受攻擊時(shí)能夠迅速恢復(fù)。
7. 安全配置：對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置，遵循最佳實(shí)踐和行業(yè)標(biāo)準(zhǔn)。
8. 使用入侵檢測系統(tǒng)：部署入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)，以實(shí)時(shí)監(jiān)測和響應(yīng)潛在的安全威脅。

通過實(shí)施這些綜合性的安全措施，您可以顯著降低成為TeamTNT等網(wǎng)絡(luò)犯罪組織攻擊目標(biāo)的風(fēng)險(xiǎn)。記住，網(wǎng)絡(luò)安全是一個(gè)持續(xù)的過程，需要不斷地評(píng)估和更新安全策略以應(yīng)對(duì)新出現(xiàn)的威脅。