最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

TeamTNT劫持服务器运行比特币加密解算器

网络安全 快米云 来源:快米云 135浏览

比特币

自 9 月初以来,AquaSec 的威胁分析师已经在他们的蜜罐上发现了 TeamTNT 活动的迹象,这使他们相信臭名昭著的黑客组织又开始行动了。

TeamTNT 宣布它将于 2021 年 11 月退出,事实上,从那时起,大多数相关观察都涉及过去感染的残余,如自动化脚本,但没有新的有效载荷。

然而,最近的攻击带有与 TeamTNT 相关的各种特征,并依赖于该团伙先前部署的工具,这表明威胁行为者很可能卷土重来。

针对比特币加密

研究人员观察到据称新的 TeamTNT 攻击中使用了三种攻击类型,其中最有趣的一种是利用被劫持服务器的计算能力来运行比特币加密求解器。

由于使用 Pollard 的 Kangaroo WIF 求解器,该攻击被命名为“袋鼠攻击”,该攻击扫描易受攻击的 Docker 守护程序,部署 AlpineOS 映像,删除脚本(“k.sh”),并最终从 GitHub 获取求解器。

袋鼠攻击图
袋鼠攻击图 (AquaSec)

Pollard 的袋鼠区间 ECDLP(椭圆曲线离散对数问题)求解器算法试图破解比特币公钥密码学中使用的SECP256K1 加密。

“它 [算法] 旨在以分布式方式运行,因为该算法将密钥分成块并将它们分发到各个节点(被攻击的服务器),收集结果,然后在本地写入文本文件,” AquaSec 解释道

虽然量子计算有望在未来的某个时候打破现有的比特币加密,但用当前的机器实现它被认为是不可能的,但 TeamTNT 似乎愿意使用其他人的资源来尝试这个理论。

很可能,威胁参与者只是在尝试新的攻击途径、有效载荷部署和规避检测,同时对捕获的系统执行密集操作,而袋鼠攻击则满足了所有要求。

其他攻击类型

AquaSec 观察到的其他攻击类似于 过去的 TeamTNT 操作 ,但现在具有一些新特征。

“Cronb 攻击”使用记录在案的 rootkit、用于持久性的 cron 作业、用于盈利的加密矿工以及用于横向移动的工具。新颖的元素是新的 C2 基础设施地址的出现和更精细的数据交换。

接下来,入侵者下载并执行额外的脚本、rootkit 和一个加密矿工,同时他们还添加了 cronjobs 并在网络上执行 SSH 扫描。

What Will Be 攻击图
“What Will Be”攻击图 (AquaSec)

这种攻击中的一个新技巧是通过这些脚本引入的,使威胁参与者能够通过修改架构的 CPU 模型特定寄存器来优化加密性能。

优化 CPU 以进行加密挖矿
优化 CPU 以进行加密 (AquaSec)

无论是执行这些攻击的 TeamTNT 还是其他人,组织都应该提高他们的云安全性,加强 Docker 配置,并在为时已晚之前应用所有可用的安全更新。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » TeamTNT劫持服务器运行比特币加密解算器