يُشتبه في أن مجموعة الكريبتوجاكينج المعروفة باسم TeamTNT تقف وراء سلالة غير مكتشفة سابقًا من البرامج الضارة المستخدمة لتعدين عملة مونيرو المشفرة على الأنظمة المخترقة.
هذا وفقًا لـ Cado Security ، الذي وجد العينة بعد أن قام Sysdig بتفصيل هجوم معقد يُعرف باسم SCARLETEEL يستهدف البيئات المعبأة في حاويات لسرقة البيانات والبرامج الخاصة في نهاية المطاف.
على وجه التحديد ، تضمنت المرحلة المبكرة من سلسلة الهجوم استخدام عامل منجم للعملات المشفرة ، والذي اشتبهت شركة الأمن السحابي أنه تم نشره كشرك لإخفاء اكتشاف سرقة البيانات.
كشف تحليل جديد من Cado Security أن الأداة - التي تم تحميلها إلى VirusTotal أواخر الشهر الماضي - "تحمل العديد من أوجه التشابه النحوية والدلالية مع حمولات TeamTNT السابقة ، وتتضمن معرّف المحفظة الذي نُسب إليه سابقًا" .
تم توثيق TeamTNT ، النشط منذ عام 2019 على الأقل ، لضرب بيئات السحابة والحاويات بشكل متكرر لنشر مُعدني العملات المشفرة. من المعروف أيضًا أنه يطلق العنان لدودة التعدين المشفرة القادرة على سرقة بيانات اعتماد AWS .
بينما أغلق ممثل التهديد عملياته عن طيب خاطر في نوفمبر 2021 ، كشفت شركة الأمان السحابية Aqua في سبتمبر 2022 عن مجموعة جديدة من الهجمات شنتها المجموعة التي تستهدف حالات Docker و Redis التي تم تكوينها بشكل خاطئ.
ومع ذلك ، هناك أيضًا مؤشرات على أن أطقمًا منافسة مثل WatchDog قد تحاكي تكتيكات وتقنيات وإجراءات TeamTNT لإحباط جهود الإسناد.
هناك مجموعة أنشطة أخرى جديرة بالملاحظة وهي Kiss-a-dog ، والتي تعتمد أيضًا على الأدوات والبنية التحتية للقيادة والتحكم (C2) المرتبطة سابقًا بـ TeamTNT لتعدين العملة المشفرة.
لا يوجد دليل ملموس لربط البرنامج الضار الجديد بهجوم سكارليتيل. لكن Cado Security أشار إلى أن العينة ظهرت على السطح في نفس الوقت الذي تم فيه الإبلاغ عن الأخير ، مما يزيد من احتمال أن يكون هذا هو عامل منجم "شرك" تم تركيبه.
يتخذ برنامج shell النصي ، من جانبه ، خطوات تمهيدية لإعادة تكوين حدود الموارد الصلبة ، ومنع تسجيل محفوظات الأوامر ، وقبول جميع حركة مرور الدخول أو الخروج ، وتعداد موارد الأجهزة ، وحتى تنظيف التسويات السابقة قبل بدء النشاط.
مثل الهجمات الأخرى المرتبطة بـ TeamTNT ، تستفيد الحمولة الضارة أيضًا من تقنية يشار إليها باسم اختطاف الرابط الديناميكي لإخفاء عملية المنجم عبر كائن مشترك قابل للتنفيذ يسمى libprocesshider يستخدم متغير البيئة LD_PRELOAD .
يتم تحقيق الثبات من خلال ثلاث وسائل مختلفة ، أحدها يعدل ملف .profile ، لضمان استمرار عامل التعدين في العمل عبر عمليات إعادة تمهيد النظام.
تأتي النتائج في الوقت الذي لوحظت فيه مجموعة أخرى من عمال المناجم المشفرة يطلق عليها اسم 8220 Gang وهي تستخدم أداة تشفير تسمى ScrubCrypt لتنفيذ عمليات تشفير غير مشروعة.
علاوة على ذلك ، تم العثور على جهات تهديدات غير معروفة تستهدف البنية التحتية لمنظم حاويات Kubernetes الضعيفة باستخدام واجهات برمجة التطبيقات المكشوفة لتعدين عملة Dero المشفرة ، مما يمثل تحولًا من Monero.
سلطت شركة الأمن السيبراني Morphisec ، الشهر الماضي ، الضوء أيضًا على حملة برامج ضارة مراوغة تستفيد من ثغرات ProxyShell في خوادم Microsoft Exchange لإسقاط سلالة عامل منجم التشفير تسمى ProxyShellMiner .
قال الباحثون: " يمكن أن يؤدي تعدين العملة المشفرة على شبكة مؤسسة ما إلى تدهور أداء النظام ، وزيادة استهلاك الطاقة ، وزيادة سخونة المعدات ، ويمكن أن يوقف الخدمات". "إنه يسمح للجهات الفاعلة بالتهديد بالوصول إلى أهداف أكثر شناعة."