Malware Sliver: come sta alimentando una nuova era di cryptomining illecito

Comprendere l'ascesa del malware Sliver

Il malware Sliver, un framework open source di comando e controllo (C2), emerge come uno strumento potente tra gli aggressori informatici, specialmente nel regno del cryptomining. Il famigerato collettivo di cryptojacking noto come TeamTNT ha iniziato a sfruttare questo framework adattabile per rafforzare le sue campagne, in particolare prendendo di mira gli ambienti cloud basati su Docker.

TeamTNT è stato un player persistente nel panorama della sicurezza informatica e la sua adozione del malware Sliver evidenzia la sua continua spinta a evolvere ed espandere le sue tattiche. Questo passaggio da vecchi strumenti a Sliver consente loro di comandare i server compromessi con maggiore precisione, alimentando in ultima analisi i loro obiettivi di cryptomining e monetizzazione delle risorse.

Cosa vuole il malware Sliver: potenziare le operazioni di cryptomining

L'obiettivo principale del malware Sliver nelle campagne di TeamTNT è prendere il controllo dei server cloud per attività di cryptomining non autorizzate, spesso definite cryptojacking. Una volta che Sliver viene distribuito su un server, consente agli aggressori di controllare da remoto il dispositivo, gestire gli script di cryptomining e sfruttare la potenza di elaborazione del server per estrarre criptovaluta senza che il proprietario ne sia a conoscenza.

Una delle caratteristiche principali di Sliver è la sua capacità di eseguire una gamma di comandi che supportano questa operazione di cryptomining segreta. Consente agli aggressori di avviare, monitorare e terminare i processi di mining secondo necessità. Inoltre, Sliver facilita la comunicazione di rete aggiuntiva, consentendo a TeamTNT di reclutare i dispositivi compromessi in reti più grandi e distribuite note come Docker Swarm. Ciò consente a TeamTNT di orchestrare sforzi di mining su larga scala o di affittare potenza del server a terze parti tramite piattaforme che accettano entrate da locazione, creando così un modello di entrate sostenibile per le proprie operazioni.

Docker come Launchpad: come TeamTNT distribuisce Sliver

Gli attacchi basati su Sliver di TeamTNT hanno come obiettivo principalmente i container Docker, che sono popolari negli ambienti cloud-native per la loro scalabilità ed efficienza. L'API aperta di Docker, che è spesso accessibile se non adeguatamente protetta, fornisce un punto di ingresso per TeamTNT per iniettare malware Sliver nell'infrastruttura. Nella loro ultima campagna, TeamTNT esegue la scansione degli endpoint API Docker esposti per individuare server vulnerabili e installare automaticamente software di cryptomining.

Una parte critica di questa operazione riguarda l'utilizzo di Docker Hub come piattaforma di distribuzione. Ospitando immagini Docker compromesse e incorporate con malware Sliver, TeamTNT può rapidamente scalare la sua campagna, diffondendo il malware in numerosi ambienti. Una volta distribuito un contenitore infetto da malware Sliver, esegue una serie di script che collegano il dispositivo all'infrastruttura di comando di TeamTNT. Questa infrastruttura non solo coordina l'attività di mining, ma rende anche difficile per gli amministratori rilevare l'uso non autorizzato delle risorse.

Implicazioni per le aziende: drenaggio delle risorse e rischi per la sicurezza

L'uso del malware Sliver per il cryptojacking comporta diverse implicazioni per le aziende, in particolare quelle che dipendono fortemente dall'infrastruttura cloud. Innanzitutto, il cryptojacking può prosciugare notevolmente le risorse di calcolo, poiché il cryptomining consuma grandi quantità di potenza di elaborazione. Per le aziende, ciò può tradursi in una riduzione delle prestazioni delle applicazioni, costi energetici più elevati e tempi di inattività imprevisti del server, tutti fattori che possono avere un impatto sulla fornitura del servizio e sulla soddisfazione del cliente.

Oltre al consumo di risorse, l'implementazione di Sliver introduce anche una serie complessa di sfide di sicurezza. Poiché il malware opera tramite un framework di comando e controllo, gli aggressori possono sfruttarlo per espandere il loro punto d'appoggio all'interno di una rete. Questo accesso ampliato apre possibilità per ulteriori attività dannose, come furto di dati, movimento laterale o implementazione di altre forme di software dannoso. Inoltre, la capacità di controllare da remoto i server infetti offre agli aggressori una piattaforma per lanciare ulteriori attacchi all'interno o all'esterno della rete compromessa, amplificando il rischio per l'integrità e la reputazione aziendale.

Come le tattiche di TeamTNT segnalano un panorama delle minacce in evoluzione

L'adozione del malware Sliver riflette una tendenza più ampia nel cybercrime verso una maggiore adattabilità e sofisticatezza. A differenza del malware tradizionale, la natura open source di Sliver consente agli attori della minaccia di personalizzarlo in base alle proprie esigenze, sia per migliorare la furtività, potenziare le capacità di controllo remoto o integrarlo con altri malware. Questa adattabilità significa che Sliver può servire a più scopi a seconda delle tattiche e degli obiettivi specifici di un attore della minaccia.

TeamTNT, in particolare, dimostra un alto livello di flessibilità operativa. Cambiando il loro approccio e adottando nuovi strumenti come Sliver, rimangono resilienti e difficili da interrompere. Le loro operazioni, un tempo focalizzate esclusivamente sul cryptojacking, ora incorporano flussi di entrate aggiuntivi, come la vendita dell'accesso a server compromessi o l'offerta di cryptomining come servizio ad altri aggressori. Questo approccio multidimensionale non solo complica gli sforzi difensivi, ma indica anche una maturazione nel modello di business dei gruppi di cryptomining illeciti.

Come proteggersi dal malware Sliver e da minacce simili

Per proteggersi da minacce come Sliver, le aziende devono mantenere un atteggiamento proattivo nel proteggere la propria infrastruttura cloud. Ciò include:

  • Blocco dell'accesso alle API Docker : gli endpoint Docker non protetti sono un punto di ingresso primario per TeamTNT. Garantire che le API di Docker siano configurate in modo sicuro con requisiti di autenticazione rigorosi può impedire l'accesso non autorizzato.
  • Monitoraggio per attività anomale : prestazioni insolite del server o elevato utilizzo della CPU possono segnalare cryptojacking. Monitorando attivamente l'utilizzo delle risorse, le aziende possono rilevare potenziali attività di cryptojacking e indagare ulteriormente.
  • Scansione regolare delle vulnerabilità : le scansioni di routine possono aiutare a identificare i punti esposti o deboli negli ambienti cloud, consentendo alle aziende di affrontare le vulnerabilità prima che gli aggressori le sfruttino.

Pertanto, l'ascesa del malware Sliver illustra un cambiamento significativo nel modo in cui vengono condotte le campagne di cryptomining. Per le aziende che operano in ambienti cloud, comprendere le tattiche e gli obiettivi di gruppi come TeamTNT può essere cruciale per rimanere resilienti contro le minacce informatiche in evoluzione. Con la sicurezza e la vigilanza del cloud, le aziende possono proteggere meglio i propri sistemi dal cadere vittime di campagne di cryptomining illecite e dalle complesse ripercussioni che le accompagnano.

Entro il Willa
October 28, 2024
Malware
Italiano
October 28, 2024
Malware

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.