O grupo cibercriminoso TeamTNT lançou uma nova campanha de ataques em larga escala contra ambientes nativos de nuvem, com o objetivo de minerar criptomoedas e alugar servidores comprometidos para terceiros. Especialistas detectaram que o grupo usa daemons Docker expostos para implantar o malware Sliver, uma ameaça capaz de se autorreplicar e que também atua como criptominerador. Além disso, eles utilizam o Docker Hub como uma plataforma para hospedar e distribuir cargas maliciosas.

Monetização dos Servidores Infectados

Além de explorar o Docker Hub para disseminar malware, o TeamTNT está comercializando o poder computacional das máquinas infectadas, oferecendo-as a terceiros e diversificando suas fontes de receita. A campanha foi identificada pela empresa de segurança Datadog no início de outubro de 2024, quando tentativas de integrar instâncias infectadas de Docker a um Docker Swarm foram observadas. Na ocasião, a autoria do ataque ainda não era atribuída oficialmente, mas análises posteriores confirmaram o envolvimento do TeamTNT.

Técnica de Ataque e Mercado Ilegal

Os ataques do TeamTNT envolvem a identificação de endpoints Docker API expostos e sem autenticação. Usando ferramentas como masscan e ZGrab, o grupo localiza esses pontos de entrada e implanta criptomineradores nos sistemas vulneráveis. A infraestrutura comprometida é então anunciada em plataformas de aluguel de mineração, como o Mining Rig Rentals, demonstrando a sofisticação do modelo de negócios ilícito do grupo.

Ameaças à Segurança de Ambientes na Nuvem

Esses ataques destacam a importância da segurança em ambientes de nuvem, especialmente para organizações que utilizam Docker. A recomendação para empresas é revisar a configuração de segurança das APIs Docker e reforçar a autenticação e monitoramento para evitar compromissos dessa natureza.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber: