Исследователи компании AT&T Alien Labs, работающей в сфере безопасности, обнаружили, что группа киберпреступников, называющая себя TeamTNT, усовершенствовала свою программу с открытым исходным кодом, предназначенную для майнинга криптовалюты и работающую под Linux, добавив в неё возможности ухода от обнаружения. TeamTNT в основном известна тем, что занимается поиском и взломом присутствующих в интернете открытых серверов Docker с целью несанкционированного майнинга Monero (XMR). Тем не менее, группа изменила тактику, обновив своё вредоносное ПО для криптоджекинга Linux под названием Black-T, которое также собирает учётные данные пользователей с заражённых серверов. Группа TeamTNT вновь обновила своё вредоносное ПО, чтобы избежать его обнаружения после заражения системы и развертывания вредоносной полезной нагрузки для майнинга на устройствах Linux. Скрываясь на виду Как указал Офер Каспи, исследователь в области безопасности из компании AT&T Alien Labs, в опубликованном сегодня отчете: «Группа использует новый инструмент, позволяющий уходить от обнаружения, который был скопирован из открытых репозиториев». Этот инструмент известен как libprocesshider и у него открытый исходный код, который можно найти на Github и использовать, чтобы скрыть любой процесс Linux с помощью предзагрузчика ld. «Задача нового инструмента состоит в том, чтобы скрыть вредоносный процесс от программ обработки информации, таких как ps и lsof, то есть, эффективно выполнять функции техники обхода защиты», — добавил Каспи. Инструмент для ухода от обнаружения развёртывается в заражённых системах в виде bash-скрипта в кодировке base64, встроенного в TeamTNT ircbot или двоичный код майнера. Скрипт сокрытия расшифрованного процесса (AT&T Alien Labs ) Как только скрипт будет запущен на взломанной машине, он начнёт выполнения ряда задач, которые позволят ему: изменять конфигурацию DNS сети; обеспечивать устойчивость выполнения через systemd; сбросить и активировать новый инструмент как службу; загрузить последнюю конфигурацию IRC-бота; удалить свидетельства своих действий, чтобы потенциально усложнить работу защиты. После выполнения всех шагов вредоносная программа Black-T так же автоматически уничтожит все следы вредоносной деятельности, удалив всю bash-историю системы. «За счёт использования libprocesshider TeamTNT вновь удалось расширить свои возможности на базе уже имеющихся инструментов с открытым исходным кодом, — сказал в заключении Каспи. — Хотя новая функция libprocesshider заключается в том, чтобы уйти от обнаружения и других основных функций, он также выступает в качестве индикатора, который учитывается при охоте за вредоносной деятельностью на уровне хоста». Обновления ботнета Ботнет для майнинга криптовалюты был впервые был замечен в мае 2020 года компанией MalwareHunterTeam, а затем проанализирован сотрудниками Trend Micro, которые обнаружили его сродсвто с программами, нацеленными на Docker. После того, как вредоносная программа заражает неправильно конфиурированный сервер, она самостоятельно развёртывается в новых контейнерах и сбрасывает вредоносный двоичный файл полезной нагрузки, который начинает майнинг криптовалюты Monero (XMR). В августе компанией Cado Security была обнаружена новая функция червя TeamTNT, отвечающая за сбор учётных данных AWS, что делает его первым ботнетом, ориентированным на криптоджекинг и использующим такую возможность. Месяц спустя вредоносная программа была замечена компанией Intezer при развертывании легитимного инструмента с открытым исходным кодом Weave Scope. Программа пыталась взять под контроль Docker, Kubernetes, Distributed Cloud Operating System (DC/OS) жертвы или облачную инфраструктуру Elastic Compute Cloud (ECS) AWS. Ранее в этом месяце, группа TeamTNT начала использовать криптор и загрузчик памяти с открытым исходным кодом под названием Ezur, чтобы сделать своё вредоносное ПО практически невидимым для антивирусных программ. --- Источник: Linux malware uses open-source tool to evade detection Перевод: Mr. Pickles (@v1docq47) Редактирование: Agent LvM (@LvMi4) Коррекция: Kukima (@Kukima)