Malware Sliver : comment il alimente une nouvelle ère de cryptomining illicite

Comprendre l'essor du malware Sliver

Le malware Sliver, un framework de commande et de contrôle (C2) open source, apparaît comme un outil puissant parmi les cyberattaquants, en particulier dans le domaine du cryptomining. Le célèbre collectif de cryptojacking connu sous le nom de TeamTNT a commencé à exploiter ce framework adaptable pour renforcer ses campagnes, en ciblant notamment les environnements cloud basés sur Docker.

TeamTNT est un acteur incontournable dans le domaine de la cybersécurité, et l'adoption du malware Sliver met en évidence sa volonté continue d'évoluer et d'étendre ses tactiques. Ce passage d'outils plus anciens à Sliver leur permet de contrôler les serveurs compromis avec une plus grande précision, contribuant ainsi à leurs objectifs de cryptomining et de monétisation des ressources.

Ce que veut le malware Sliver : alimenter les opérations de cryptomining

L'objectif principal du malware Sliver dans les campagnes de TeamTNT est de prendre le contrôle des serveurs cloud pour des activités de cryptomining non autorisées, souvent appelées cryptojacking. Une fois Sliver déployé sur un serveur, il permet aux attaquants de contrôler à distance l'appareil, de gérer les scripts de cryptomining et d'exploiter la puissance de traitement du serveur pour miner des cryptomonnaies à l'insu du propriétaire.

L’une des principales caractéristiques de Sliver est sa capacité à exécuter une série de commandes qui prennent en charge cette opération secrète de cryptomining. Il permet aux attaquants de lancer, de surveiller et de mettre fin aux processus de minage selon les besoins. De plus, Sliver facilite la communication réseau supplémentaire, permettant à TeamTNT de recruter les appareils compromis dans des réseaux plus vastes et distribués connus sous le nom de Docker Swarms. Cela permet à TeamTNT d’orchestrer des efforts de minage à grande échelle ou de louer la puissance du serveur à des tiers via des plateformes qui acceptent les revenus de location, créant ainsi un modèle de revenus durable pour leurs opérations.

Docker comme rampe de lancement : comment TeamTNT déploie Sliver

Les attaques Sliver de TeamTNT ciblent principalement les conteneurs Docker, qui sont populaires dans les environnements cloud natifs pour leur évolutivité et leur efficacité. L'API ouverte de Docker, qui est souvent accessible même si elle n'est pas correctement sécurisée, fournit un point d'entrée à TeamTNT pour injecter des logiciels malveillants Sliver dans l'infrastructure. Dans sa dernière campagne, TeamTNT recherche les points de terminaison de l'API Docker exposés pour localiser les serveurs vulnérables et installer automatiquement un logiciel de cryptomining.

Une partie essentielle de cette opération consiste à utiliser Docker Hub comme plate-forme de distribution. En hébergeant des images Docker compromises intégrées au malware Sliver, TeamTNT peut rapidement faire évoluer sa campagne, en diffusant le malware dans de nombreux environnements. Une fois qu'un conteneur infecté par le malware Sliver est déployé, il exécute une série de scripts qui relient l'appareil à l'infrastructure de commande de TeamTNT. Cette infrastructure coordonne non seulement l'activité d'extraction, mais rend également difficile pour les administrateurs de détecter l'utilisation non autorisée des ressources.

Conséquences pour les entreprises : épuisement des ressources et risques de sécurité

L’utilisation du malware Sliver pour le cryptojacking entraîne plusieurs conséquences pour les entreprises, en particulier celles qui dépendent fortement de l’infrastructure cloud. Tout d’abord, le cryptojacking peut considérablement épuiser les ressources informatiques, car le cryptomining consomme d’énormes quantités de puissance de traitement. Pour les entreprises, cela peut se traduire par une diminution des performances des applications, une augmentation des coûts énergétiques et des temps d’arrêt inattendus des serveurs, qui peuvent tous avoir un impact sur la prestation de services et la satisfaction des clients.

Au-delà de la consommation de ressources, le déploiement de Sliver introduit également un ensemble complexe de défis de sécurité. Étant donné que le malware fonctionne via un cadre de commande et de contrôle, les attaquants peuvent l'exploiter pour étendre leur présence au sein d'un réseau. Cet accès étendu ouvre la voie à des activités malveillantes supplémentaires, telles que le vol de données, le déplacement latéral ou le déploiement d'autres formes de logiciels nuisibles. De plus, la possibilité de contrôler à distance les serveurs infectés offre aux attaquants une plate-forme pour lancer d'autres attaques à l'intérieur ou à l'extérieur du réseau compromis, amplifiant ainsi le risque pour l'intégrité et la réputation de l'entreprise.

Comment les tactiques de TeamTNT signalent un paysage de menaces en évolution

L'adoption du malware Sliver reflète une tendance plus large de la cybercriminalité vers une plus grande adaptabilité et sophistication. Contrairement aux malwares traditionnels, la nature open source de Sliver permet aux acteurs malveillants de le personnaliser en fonction de leurs besoins, que ce soit pour améliorer la furtivité, renforcer les capacités de contrôle à distance ou l'intégrer à d'autres malwares. Cette adaptabilité signifie que Sliver peut servir à plusieurs fins en fonction des tactiques et des objectifs spécifiques d'un acteur malveillant.

TeamTNT, en particulier, fait preuve d’une grande flexibilité opérationnelle. En modifiant son approche et en adoptant de nouveaux outils comme Sliver, elle reste résiliente et difficile à perturber. Ses opérations, autrefois axées uniquement sur le cryptojacking, intègrent désormais des sources de revenus supplémentaires, telles que la vente d’accès à des serveurs compromis ou l’offre de cryptomining en tant que service à d’autres attaquants. Cette approche multidimensionnelle complique non seulement les efforts de défense, mais indique également une maturation du modèle économique des groupes de cryptomining illicites.

Restez protégé contre les logiciels malveillants Sliver et les menaces similaires

Pour se protéger contre des menaces telles que Sliver, les entreprises doivent adopter une attitude proactive en matière de sécurisation de leur infrastructure cloud. Cela comprend :

  • Verrouillage de l'accès aux API Docker : les points de terminaison Docker non sécurisés constituent un point d'entrée principal pour TeamTNT. S'assurer que les API de Docker sont configurées de manière sécurisée avec des exigences d'authentification strictes peut empêcher tout accès non autorisé.
  • Surveillance des activités anormales : des performances inhabituelles du serveur ou une utilisation intensive du processeur peuvent signaler un cryptojacking. En surveillant activement l'utilisation des ressources, les entreprises peuvent détecter une activité potentielle de cryptojacking et enquêter plus en profondeur.
  • Analyse régulière des vulnérabilités : les analyses de routine peuvent aider à identifier les points exposés ou faibles dans les environnements cloud, permettant aux entreprises de corriger les vulnérabilités avant que les attaquants ne les exploitent.

L’essor du malware Sliver illustre donc un changement significatif dans la manière dont les campagnes de cryptomining sont menées. Pour les entreprises opérant dans des environnements cloud, il peut être essentiel de comprendre les tactiques et les objectifs de groupes comme TeamTNT pour rester résilientes face à l’évolution des cybermenaces. Grâce à la sécurité et à la vigilance du cloud, les entreprises peuvent mieux protéger leurs systèmes contre les campagnes de cryptomining illicites et les répercussions complexes qui les accompagnent.

Par Willa
October 28, 2024
Malware
Français
October 28, 2024
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.