黑客组织 TeamTNT“重出江湖” 攻击阿里云服务器用于挖掘数字货币

黑客组织TeamTNT重新活跃

安全公司Group-IB近日发布报告指出,曾经在2022年消失的黑客组织TeamTNT已经重返网络,并重新开始其攻击活动。这次,TeamTNT特别锁定了运行CentOS操作系统的VPS服务器,利用这些服务器进行数字货币挖掘。

黑客组织 TeamTNT“重出江湖” 攻击阿里云服务器用于挖掘数字货币插图

攻击手法

TeamTNT通过SSH连接到目标主机,并采用暴力破解的方式获取初始访问权限。成功登录后,黑客上传恶意脚本,这些脚本会禁用其他数字货币挖掘软件,停用防火墙,删除系统事件记录,并部署名为Diamorphine的rootkit工具。Diamorphine工具使得黑客能够隐蔽地控制受害服务器,并用其进行挖矿活动。

对抗措施

安全公司提醒,相关脚本还会检查VPS中是否存在阿里巴巴的安全防护机制aliyun.service,并在发现后尝试移除,这表明TeamTNT有意避开某些安全防护措施。用户和组织被建议加强对CentOS服务器的安全防护,定期更新系统和应用程序,以及使用强密码和多因素认证来减少被攻击的风险。同时,监控网络流量和系统日志,以便及时发现和响应潜在的安全威胁,也是非常重要的安全措施。

深入研究

TeamTNT组织主要针对哪些类型的系统发起攻击?

TeamTNT组织攻击的系统类型

TeamTNT组织主要针对多种云环境和平台发起攻击,这些系统类型包括:

  • AWS (Amazon Web Services):TeamTNT利用各种手段窃取AWS凭证,并在AWS环境中部署恶意软件。
  • Docker:该组织利用Docker远程API的未授权访问漏洞进行攻击,并在受影响的系统中安装恶意容器。
  • GCP (Google Cloud Platform):作为云环境的一部分,GCP也是TeamTNT攻击的目标之一。
  • Linux:TeamTNT开发了专门针对Linux系统的恶意软件和工具。
  • Kubernetes:该组织特别针对Kubernetes集群,利用其弱点进行加密劫持和横向移动感染。
  • Windows:虽然主要集中在Linux系统上,但TeamTNT的活动也扩展到了Windows环境。

TeamTNT通过这些攻击手段,旨在建立僵尸网络、进行加密货币挖矿、窃取敏感数据以及发起分布式拒绝服务(DDoS)攻击等非法活动。

Diamorphine rootkit有什么功能特点?

Diamorphine rootkit的功能特点

Diamorphine rootkit是一个针对Linux系统的内核级别rootkit,具有以下功能特点:

  1. 隐蔽性:Diamorphine在加载时能够隐藏自身,使得通过lsmod命令无法检测到该模块的存在。
  2. 进程控制:通过发送特定信号,Diamorphine可以控制进程的可见性,使进程既可以被隐藏也可以被显示。
  3. 权限提升:该rootkit能够向任何进程发送信号,从而将普通用户提升为root权限。
  4. 文件隐藏:Diamorphine可以隐藏以特定前缀(MAGIC_PREFIX)开头的文件或目录,使得这些文件不会出现在常规的文件系统浏览中。
  5. 系统调用拦截:通过挂钩系统调用,如getdentsgetdents64,Diamorphine可以修改文件列表数据,进一步增强其隐蔽性。
  6. 远程控制:Diamorphine可能包含用于远程控制的机制,允许攻击者执行更复杂的操作,如加密货币挖掘或数据窃取。
  7. 兼容性:Diamorphine设计用于支持多种Linux内核版本,包括2.6.x、3.x和4.x,这增加了其潜在的攻击面。

Diamorphine rootkit的这些功能使其成为一个强大的恶意软件工具,能够在感染后为攻击者提供深入系统核心的能力,同时规避常规的安全检测手段。

如何防范TeamTNT组织的攻击行为?

TeamTNT组织及其攻击手段

TeamTNT是一个知名的网络犯罪组织,专门从事利用漏洞进行恶意软件部署和加密货币挖矿活动。他们的攻击通常涉及对服务器和云基础设施的渗透,以及通过各种手段获取未授权访问权限。

防范措施

为了有效防范TeamTNT组织的攻击行为,您可以采取以下措施:

  1. 及时更新系统和应用程序:确保所有系统和应用程序都安装了最新的安全补丁,以减少被已知漏洞利用的风险。
  2. 强化密码策略:使用复杂的密码并定期更换,避免使用默认密码或容易被猜测的密码组合。
  3. 多因素认证:在可能的情况下启用多因素认证,增加账户安全性。
  4. 监控异常活动:定期检查系统日志,监控可疑的登录尝试和未经授权的文件更改。
  5. 限制不必要的服务和端口:关闭不必要的网络服务和端口,减少潜在的攻击面。
  6. 数据备份:定期备份重要数据,并确保备份存储在安全的位置,以便在遭受攻击时能够迅速恢复。
  7. 安全配置:对服务器和网络设备进行安全配置,遵循最佳实践和行业标准。
  8. 使用入侵检测系统:部署入侵检测系统(IDS)和入侵防御系统(IPS),以实时监测和响应潜在的安全威胁。

通过实施这些综合性的安全措施,您可以显著降低成为TeamTNT等网络犯罪组织攻击目标的风险。记住,网络安全是一个持续的过程,需要不断地评估和更新安全策略以应对新出现的威胁。

给TA打赏
共{{data.count}}人
人已打赏
大事件

AI破解了CAPTCHA 网站验证系统

2024-9-24 11:33:30

大事件

腾讯云轻量云服务器免费升级配置

2024-9-25 9:50:00

在线客服
主机吧
我们将24小时内回复。
2024-10-12 08:05:46
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
[QQ客服]
176363189
当幸福来敲门
[小黄]
17307799197
[企业邮箱]
sudu@yunjiasu.cc
取消

选择聊天工具: