Operasi pencurian kripto yang dikenal sebagai Tim TNT kemungkinan muncul kembali sebagai bagian dari kampanye baru yang menargetkan infrastruktur Virtual Private Server (VPS) berbasis sistem operasi CentOS.
“Akses awal dilakukan melalui serangan brute force Secure Shell (SSH) pada aset korban, yang mana pelaku ancaman mengunggah skrip berbahaya,” kata peneliti Group-IB Vito Alfano dan Nam Le Phuong dalam laporan hari Rabu.
Skrip berbahaya tersebut, catat perusahaan keamanan siber Singapura, bertanggung jawab untuk menonaktifkan fitur keamanan, menghapus log, menghentikan proses penambangan mata uang kripto, dan menghambat upaya pemulihan.
Rangkaian serangan tersebut pada akhirnya membuka jalan bagi penyebaran rootkit Diamorphine untuk menyembunyikan proses berbahaya, sekaligus menyiapkan akses jarak jauh yang terus-menerus ke host yang disusupi.
Kampanye tersebut dikaitkan dengan TeamTNT dengan keyakinan sedang, dengan mengutip kesamaan dalam taktik, teknik, dan prosedur (TTP) yang diamati.
TeamTNT pertama kali ditemukan di alam liar pada tahun 2019, melakukan aktivitas penambangan mata uang kripto ilegal dengan menyusup ke lingkungan cloud dan kontainer. Sementara pelaku ancaman tersebut mengucapkan selamat tinggal pada bulan November 2021 dengan mengumumkan “berhenti total”, pelaporan publik telah mengungkap beberapa operasi yang dilakukan oleh kru peretas tersebut sejak bulan September 2022.
Aktivitas terkini yang terkait dengan kelompok tersebut terwujud dalam bentuk skrip shell yang pertama-tama memeriksa apakah kelompok tersebut sebelumnya telah terinfeksi oleh operasi cryptojacking lain, setelah itu melanjutkan dengan melemahkan keamanan perangkat dengan menonaktifkan SELinux, AppArmor, dan firewall.
Perubahan yang diterapkan pada layanan ssh |
“Skrip tersebut mencari daemon yang terkait dengan penyedia cloud Alibaba, bernama aliyun.service,” kata para peneliti. “Jika mendeteksi daemon ini, skrip tersebut mengunduh skrip bash dari update.aegis.aliyun.com untuk menghapus layanan tersebut.”
Selain mematikan semua proses penambangan mata uang kripto yang bersaing, skrip tersebut mengambil langkah-langkah untuk mengeksekusi serangkaian perintah guna menghapus jejak yang ditinggalkan oleh penambang lain, menghentikan proses yang terkontainerisasi, dan menghapus gambar yang disebarkan sehubungan dengan penambang koin mana pun.
Selain itu, ia menetapkan persistensi dengan mengonfigurasi pekerjaan cron yang mengunduh skrip shell setiap 30 menit dari server jarak jauh (65.108.48[.]150) dan memodifikasi file “/root/.ssh/authorized_keys” untuk menambahkan akun backdoor.
“Ia mengunci sistem dengan memodifikasi atribut file, membuat pengguna backdoor dengan akses root, dan menghapus riwayat perintah untuk menyembunyikan aktivitasnya,” catat para peneliti. “Pelaku ancaman tidak membiarkan apa pun terjadi; bahkan, skrip tersebut menerapkan berbagai perubahan dalam konfigurasi layanan SSH dan firewall.”