Il famigerato gruppo di cybercriminali noto come TeamTNT è tornato in azione con una nuova campagna di cryptojacking. Secondo il rapporto Group-IB nonostante si pensasse che il gruppo si fosse sciolto nel 2022, recenti evidenze indicherebbero che TeamTNT è ancora attivo. Questa volta, il gruppo avrebbe preso di mira le infrastrutture cloud VPS che eseguono CentOS, utilizzando tecniche sofisticate per compromettere i sistemi e sfruttarli per il mining di criptovalute. La campagna sarebbe stata attribuita a TeamTNT sulla base di somiglianze nelle TTP (Tattiche, Tecniche e Procedure) osservate.
TeamTNT è un gruppo di cybercriminali, attivo almeno dal 2019, noto per le sue campagne di cryptojacking, che sfruttano le risorse IT delle vittime per il mining illegale di criptovalute.
Metodologia di attacco
TeamTNT ottiene l’accesso iniziale ai sistemi bersaglio tramite attacchi brute force SSH. Una volta ottenuto l’accesso, distribuiscono uno script dannoso che esegue diverse operazioni per garantire il controllo e la furtività:
- Disabilitazione delle funzionalità di sicurezza: Lo script disabilita le funzionalità di sicurezza del sistema per evitare il rilevamento, disattivando SELinux , AppArmor e il firewall.
- Eliminazione dei log: Vengono eliminati i log di sistema per cancellare le tracce delle attività malevole.
- Installazione di un rootkit: Viene installato un rootkit (Diamorphine) che permette al gruppo di mantenere il controllo del sistema compromesso senza essere rilevato.
Misure di protezione
Questa nuova campagna di TeamTNT rappresenta una minaccia significativa per le infrastrutture cloud. Il mining di criptovalute non autorizzato può portare a un aumento dei costi operativi, a una riduzione delle prestazioni del sistema e a potenziali violazioni dei dati. Inoltre, la presenza di un rootkit può consentire ulteriori attività malevole, come il furto di dati sensibili o l’uso del sistema compromesso per attacchi futuri. Il ritorno di TeamTNT con una nuova campagna di cryptojacking sottolinea l’importanza di mantenere alti livelli di sicurezza nelle infrastrutture cloud. Adottando misure preventive e monitorando attentamente i sistemi, è possibile ridurre il rischio di compromissione e proteggere le risorse digitali.
Per proteggersi da questa e altre minacce simili, è fondamentale adottare misure di sicurezza robuste:
- Utilizzare Autenticazione a Due Fattori (2FA): Implementare 2FA per l’accesso SSH per aggiungere un ulteriore livello di sicurezza.
- Monitorare i log di sistema: Monitorare regolarmente i log di sistema per rilevare attività sospette.
- Aggiornare regolarmente il software: Mantenere aggiornati tutti i software e le patch di sicurezza per ridurre le vulnerabilità.
- Implementare sistemi di rilevamento delle Intrusioni (IDS): Utilizzare IDS per rilevare e rispondere rapidamente a eventuali intrusioni.