Sliver-Malware: Wie sie eine neue Ära des illegalen Kryptominings einleitet

Den Aufstieg der Sliver-Malware verstehen

Die Sliver-Malware, ein Open-Source-Framework für Befehle und Kontrolle (C2), erweist sich unter Cyberangreifern als mächtiges Werkzeug, insbesondere im Bereich des Kryptominings. Das berüchtigte Kryptojacking-Kollektiv TeamTNT hat begonnen, dieses anpassbare Framework zu nutzen, um seine Kampagnen zu stärken, wobei es insbesondere auf Docker-basierte Cloud-Umgebungen abzielt.

TeamTNT ist ein hartnäckiger Akteur in der Cybersicherheitslandschaft und die Einführung der Sliver-Malware unterstreicht ihren kontinuierlichen Antrieb, ihre Taktiken weiterzuentwickeln und zu erweitern. Der Wechsel von älteren Tools zu Sliver ermöglicht es ihnen, kompromittierte Server präziser zu steuern, was letztendlich ihren Zielen des Kryptominings und der Monetarisierung von Ressourcen dient.

Was die Sliver-Malware will: Kryptomining-Operationen unterstützen

Das Hauptziel der Sliver-Malware in den Kampagnen von TeamTNT besteht darin, die Kontrolle über Cloud-Server für nicht autorisierte Kryptomining-Aktivitäten zu übernehmen, was oft als Kryptojacking bezeichnet wird. Sobald Sliver auf einem Server eingesetzt wird, können Angreifer das Gerät fernsteuern, Kryptomining-Skripte verwalten und die Rechenleistung des Servers nutzen, um ohne Wissen des Besitzers Kryptowährung zu schürfen.

Eines der Hauptmerkmale von Sliver ist die Fähigkeit, eine Reihe von Befehlen auszuführen, die diesen verdeckten Kryptomining-Vorgang unterstützen. Angreifer können Mining-Prozesse nach Bedarf initiieren, überwachen und beenden. Darüber hinaus erleichtert Sliver zusätzliche Netzwerkkommunikation, sodass TeamTNT die kompromittierten Geräte in größere, verteilte Netzwerke, sogenannte Docker Swarms, einbinden kann. Auf diese Weise kann TeamTNT groß angelegte Mining-Anstrengungen orchestrieren oder Serverleistung über Plattformen, die Mieteinnahmen akzeptieren, an Dritte vermieten und so ein nachhaltiges Einnahmemodell für ihre Aktivitäten schaffen.

Docker als Launchpad: So setzt TeamTNT Sliver ein

Die Sliver-gesteuerten Angriffe von TeamTNT zielen in erster Linie auf Docker-Container ab, die in Cloud-nativen Umgebungen aufgrund ihrer Skalierbarkeit und Effizienz beliebt sind. Die offene API von Docker, die oft zugänglich ist, wenn sie nicht richtig gesichert ist, bietet TeamTNT einen Einstiegspunkt, um Sliver-Malware in die Infrastruktur einzuschleusen. In ihrer neuesten Kampagne sucht TeamTNT nach exponierten Docker-API-Endpunkten, um anfällige Server zu lokalisieren und automatisch Kryptomining-Software zu installieren.

Ein kritischer Teil dieser Operation besteht darin, Docker Hub als Verteilungsplattform zu verwenden. Durch das Hosten kompromittierter Docker-Images, in die Sliver-Malware eingebettet ist, kann TeamTNT seine Kampagne schnell skalieren und die Malware in zahlreichen Umgebungen verbreiten. Sobald ein mit Sliver-Malware infizierter Container bereitgestellt wird, führt er eine Reihe von Skripten aus, die das Gerät mit der Befehlsinfrastruktur von TeamTNT verbinden. Diese Infrastruktur koordiniert nicht nur die Mining-Aktivität, sondern erschwert es Administratoren auch, die unbefugte Nutzung von Ressourcen zu erkennen.

Auswirkungen für Unternehmen: Ressourcenverbrauch und Sicherheitsrisiken

Der Einsatz der Sliver-Malware für Kryptojacking hat mehrere Folgen für Unternehmen, insbesondere für solche, die stark auf Cloud-Infrastrukturen angewiesen sind. In erster Linie kann Kryptojacking die Rechenressourcen erheblich belasten, da Kryptomining enorme Mengen an Rechenleistung verbraucht. Für Unternehmen kann dies zu einer verringerten Anwendungsleistung, höheren Energiekosten und unerwarteten Serverausfällen führen, was sich wiederum auf die Servicebereitstellung und die Kundenzufriedenheit auswirken kann.

Über den Ressourcenverbrauch hinaus bringt der Einsatz von Sliver auch eine Reihe komplexer Sicherheitsherausforderungen mit sich. Da die Malware über ein Command-and-Control-Framework operiert, können Angreifer sie ausnutzen, um ihren Einflussbereich innerhalb eines Netzwerks auszuweiten. Dieser erweiterte Zugriff eröffnet Möglichkeiten für weitere böswillige Aktivitäten wie Datendiebstahl, laterale Bewegung oder den Einsatz anderer Formen schädlicher Software. Darüber hinaus bietet die Möglichkeit, infizierte Server fernzusteuern, Angreifern eine Plattform, um weitere Angriffe innerhalb oder außerhalb des kompromittierten Netzwerks zu starten, was das Risiko für die Integrität und den Ruf des Unternehmens erhöht.

Wie die Taktik von TeamTNT auf eine veränderte Bedrohungslandschaft hinweist

Die Verbreitung der Sliver-Malware spiegelt einen allgemeinen Trend in der Cyberkriminalität hin zu größerer Anpassungsfähigkeit und Raffinesse wider. Im Gegensatz zu herkömmlicher Malware können Bedrohungsakteure Sliver aufgrund seiner Open-Source-Natur nach ihren Bedürfnissen anpassen, sei es zur Verbesserung der Tarnung, zur Erweiterung der Fernsteuerungsfunktionen oder zur Integration in andere Malware. Diese Anpassungsfähigkeit bedeutet, dass Sliver je nach den spezifischen Taktiken und Zielen eines Bedrohungsakteurs mehreren Zwecken dienen kann.

Insbesondere TeamTNT weist ein hohes Maß an operativer Flexibilität auf. Durch die Änderung ihres Ansatzes und die Einführung neuer Tools wie Sliver bleiben sie widerstandsfähig und schwer zu stören. Ihre Aktivitäten konzentrierten sich einst ausschließlich auf Kryptojacking, umfassen nun zusätzliche Einnahmequellen, beispielsweise den Verkauf von Zugriffen auf kompromittierte Server oder das Anbieten von Kryptomining als Dienstleistung für andere Angreifer. Dieser mehrdimensionale Ansatz erschwert nicht nur die Abwehrbemühungen, sondern deutet auch auf eine Reifung des Geschäftsmodells illegaler Kryptomining-Gruppen hin.

Schutz vor Sliver-Malware und ähnlichen Bedrohungen

Um sich vor Bedrohungen wie Sliver zu schützen, müssen Unternehmen bei der Sicherung ihrer Cloud-Infrastruktur proaktiv vorgehen. Dazu gehört:

  • Sperren des Docker-API-Zugriffs : Ungesicherte Docker-Endpunkte sind ein primärer Einstiegspunkt für TeamTNT. Indem Sie sicherstellen, dass die Docker-APIs mit strengen Authentifizierungsanforderungen sicher konfiguriert sind, können Sie unbefugten Zugriff verhindern.
  • Überwachung auf anormale Aktivitäten : Ungewöhnliche Serverleistung oder hohe CPU-Auslastung können auf Cryptojacking hinweisen. Durch aktive Überwachung der Ressourcennutzung können Unternehmen potenzielle Cryptojacking-Aktivitäten erkennen und weiter untersuchen.
  • Regelmäßige Schwachstellenscans : Routinemäßige Scans können dabei helfen, gefährdete oder schwache Punkte in Cloud-Umgebungen zu identifizieren, sodass Unternehmen Schwachstellen beheben können, bevor Angreifer sie ausnutzen.

Der Aufstieg der Sliver-Malware veranschaulicht daher einen deutlichen Wandel in der Art und Weise, wie Kryptomining-Kampagnen durchgeführt werden. Für Unternehmen, die in Cloud-Umgebungen arbeiten, kann das Verständnis der Taktiken und Ziele von Gruppen wie TeamTNT entscheidend sein, um gegen sich entwickelnde Cyberbedrohungen gewappnet zu bleiben. Mit Cloud-Sicherheit und Wachsamkeit können Unternehmen ihre Systeme besser davor schützen, Opfer illegaler Kryptomining-Kampagnen und deren komplexen Auswirkungen zu werden.

Bis Willa
October 28, 2024
Malware
Deutsch
October 28, 2024
Malware

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.