Malware Sliver: como ele está impulsionando uma nova era de criptomineração ilícita

Compreendendo a ascensão do malware Sliver

O malware Sliver, uma estrutura de comando e controle (C2) de código aberto, surge como uma ferramenta poderosa entre os invasores cibernéticos, especialmente no reino da criptomineração. O notório coletivo de cryptojacking conhecido como TeamTNT começou a alavancar essa estrutura adaptável para fortalecer suas campanhas, particularmente visando ambientes de nuvem baseados em Docker.

A TeamTNT tem sido uma participante persistente no cenário de segurança cibernética, e sua adoção do malware Sliver destaca seu impulso contínuo para evoluir e expandir suas táticas. Essa mudança de ferramentas mais antigas para o Sliver permite que eles comandem servidores comprometidos com maior precisão, alimentando, em última análise, seus objetivos de criptomineração e monetização de recursos.

O que o malware Sliver quer: potencializando operações de criptomineração

O objetivo principal do malware Sliver nas campanhas da TeamTNT é assumir o controle de servidores em nuvem para atividades de criptomineração não autorizadas, geralmente chamadas de cryptojacking. Uma vez que o Sliver é implantado em um servidor, ele permite que os invasores controlem remotamente o dispositivo, gerenciem scripts de criptomineração e aproveitem o poder de processamento do servidor para minerar criptomoedas sem o conhecimento do proprietário.

Um dos principais recursos do Sliver é sua capacidade de executar uma variedade de comandos que dão suporte a essa operação secreta de criptomineração. Ele permite que invasores iniciem, monitorem e encerrem processos de mineração conforme necessário. Além disso, o Sliver facilita a comunicação de rede adicional, permitindo que a TeamTNT recrute os dispositivos comprometidos em redes maiores e distribuídas, conhecidas como Docker Swarms. Isso permite que a TeamTNT orquestre esforços de mineração em larga escala ou alugue energia de servidor para terceiros por meio de plataformas que aceitam renda de aluguel, criando assim um modelo de receita sustentável para suas operações.

Docker como plataforma de lançamento: como o TeamTNT implanta o Sliver

Os ataques conduzidos pelo Sliver da TeamTNT têm como alvo principal os contêineres Docker, que são populares em ambientes nativos da nuvem por sua escalabilidade e eficiência. A API aberta do Docker, que geralmente é acessível se não for protegida adequadamente, fornece um ponto de entrada para a TeamTNT injetar malware Sliver na infraestrutura. Em sua campanha mais recente, a TeamTNT verifica os endpoints expostos da API Docker para localizar servidores vulneráveis e instalar automaticamente o software de criptomineração.

Uma parte crítica dessa operação envolve o uso do Docker Hub como uma plataforma de distribuição. Ao hospedar imagens comprometidas do Docker incorporadas com malware Sliver, a TeamTNT pode escalar rapidamente sua campanha, espalhando o malware por vários ambientes. Uma vez que um contêiner infectado com malware Sliver é implantado, ele executa uma série de scripts que vinculam o dispositivo à infraestrutura de comando da TeamTNT. Essa infraestrutura não apenas coordena a atividade de mineração, mas também dificulta que os administradores detectem o uso não autorizado de recursos.

Implicações para as empresas: drenagem de recursos e riscos de segurança

O uso do malware Sliver para cryptojacking traz várias implicações para as empresas, particularmente aquelas fortemente dependentes de infraestrutura de nuvem. Primeiro e mais importante, o cryptojacking pode drenar significativamente os recursos computacionais, pois a criptomineração consome grandes quantidades de poder de processamento. Para as empresas, isso pode se traduzir em desempenho reduzido do aplicativo, custos de energia mais altos e tempo de inatividade inesperado do servidor, tudo isso pode impactar a entrega do serviço e a satisfação do cliente.

Além do consumo de recursos, a implantação do Sliver também introduz um conjunto complexo de desafios de segurança. Como o malware opera por meio de uma estrutura de comando e controle, os invasores podem explorá-lo para expandir sua presença em uma rede. Esse acesso expandido abre possibilidades para atividades maliciosas adicionais, como roubo de dados, movimentação lateral ou a implantação de outras formas de software prejudicial. Além disso, a capacidade de controlar remotamente servidores infectados oferece aos invasores uma plataforma para lançar mais ataques dentro ou fora da rede comprometida, amplificando o risco à integridade e reputação dos negócios.

Como as táticas da TeamTNT sinalizam uma mudança no cenário de ameaças

A adoção do malware Sliver reflete uma tendência mais ampla no crime cibernético em direção a uma maior adaptabilidade e sofisticação. Ao contrário do malware tradicional, a natureza de código aberto do Sliver permite que os agentes de ameaças o personalizem de acordo com suas necessidades, seja para melhorar a furtividade, aprimorar os recursos de controle remoto ou integrá-lo a outros malwares. Essa adaptabilidade significa que o Sliver pode servir a vários propósitos, dependendo das táticas e objetivos específicos de um agente de ameaças.

A TeamTNT, em particular, demonstra um alto nível de flexibilidade operacional. Ao mudar sua abordagem e adotar novas ferramentas como o Sliver, eles permanecem resilientes e difíceis de interromper. Suas operações, antes focadas apenas em cryptojacking, agora incorporam fluxos de receita adicionais, como vender acesso a servidores comprometidos ou oferecer criptomineração como um serviço para outros invasores. Essa abordagem multidimensional não apenas complica os esforços defensivos, mas também indica um amadurecimento no modelo de negócios de grupos ilícitos de criptomineração.

Mantendo-se protegido contra malware Sliver e ameaças semelhantes

Para se proteger contra ameaças como a Sliver, as empresas precisam manter uma postura proativa na proteção de sua infraestrutura de nuvem. Isso inclui:

  • Bloqueando o acesso à API do Docker : endpoints do Docker não seguros são um ponto de entrada primário para o TeamTNT. Garantir que as APIs do Docker estejam configuradas com segurança com requisitos de autenticação fortes pode impedir acesso não autorizado.
  • Monitoramento de Atividade Anormal : Desempenho incomum do servidor ou alto uso da CPU podem sinalizar cryptojacking. Ao monitorar ativamente a utilização de recursos, as empresas podem detectar atividade potencial de cryptojacking e investigar mais a fundo.
  • Verificação regular de vulnerabilidades : verificações de rotina podem ajudar a identificar pontos expostos ou fracos em ambientes de nuvem, permitindo que as empresas resolvam vulnerabilidades antes que invasores as explorem.

Portanto, a ascensão do malware Sliver ilustra uma mudança significativa na forma como as campanhas de criptomineração são conduzidas. Para empresas que operam em ambientes de nuvem, entender as táticas e objetivos de grupos como o TeamTNT pode ser crucial para permanecer resiliente contra ameaças cibernéticas em evolução. Com segurança e vigilância na nuvem, as empresas podem proteger melhor seus sistemas de serem vítimas de campanhas ilícitas de criptomineração e das repercussões complexas que as acompanham.

Por Willa
October 28, 2024
Malware
Portuguese
October 28, 2024
Malware

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.