TeamTNT是一个臭名昭著的黑客组织，近期利用暴露的Docker守护进程部署恶意软件，发动新的攻击活动。他们入侵了合法的Docker Hub账户，上传了用于传播恶意软件和加密货币挖掘的镜像。攻击流程包括扫描暴露的Docker守护进程、部署恶意脚本、窃取凭证、使用Sliver恶意软件等手段，最终目标是劫持受害者计算资源进行加密货币挖矿或出售访问权限。该活动凸显了TeamTNT的适应性和攻击性，提醒组织加强网络安全措施，包括软件更新和网络基础设施安全，以防范此类风险。

🤔**TeamTNT利用Docker漏洞部署恶意软件**：TeamTNT黑客组织利用Docker Gatling Gun扫描大量IP地址，寻找运行在特定端口（2375、2376、4243和4244）上的Docker守护进程的漏洞。一旦发现漏洞，他们就会部署一个来自受攻击的TeamTNT Docker Hub账户的容器，该容器运行最小化的Alpine Linux操作系统，并执行名为“TDGGinit.sh”的恶意脚本。该脚本很可能为被入侵系统上的进一步恶意活动埋下伏笔。该组织通过入侵合法的Docker Hub账户（nmlm99）来托管恶意软件，上传了大约30个分为两类的镜像：基础设施和影响。基础架构镜像用于传播恶意软件，而影响镜像则侧重于挖掘加密货币或出租计算能力。 例如，他们会利用被入侵的服务器和Docker Hub来散播攻击，并在受害者的服务器上部署恶意软件，例如Sliver，并利用受害者的计算能力来进行加密货币挖掘。他们还会窃取受害者的凭证，并在网络中寻找更多目标。 他们使用Docker Gatling Gun扫描大量IP地址，查找运行在特定端口上的Docker守护进程的漏洞，一旦找到漏洞，就会部署一个来自受攻击的Docker Hub账户的容器，并执行恶意脚本。这些脚本会进一步执行恶意活动，例如窃取凭证、扫描网络和部署其他恶意软件。

🛡️**TeamTNT使用Sliver恶意软件和多种手段逃避检测**：为了逃避检测，TeamTNT使用了Sliver恶意软件，这是一种比以前的工具Tsunami更先进、更隐蔽的工具。他们还使用Chimaera和Bioset等耳熟能详的名称来混入合法进程。此外，它们还会窃取凭证并扫描网络以寻找更多目标。通过使用Sliver等高级恶意软件，TeamTNT能够更有效地隐藏其恶意活动，从而逃避安全软件的检测。 例如，他们利用Sliver恶意软件来控制被入侵的系统，并进行各种恶意活动，例如窃取数据、部署其他恶意软件和进行加密货币挖掘。他们还会使用其他技术来逃避检测，例如使用合法进程的名称来隐藏恶意活动，以及使用各种通信协议来进行指挥和控制。 TeamTNT利用多种手段来逃避检测，例如使用Sliver恶意软件、混淆恶意软件名称、窃取凭证和扫描网络等。这些手段使得安全人员难以检测和阻止他们的恶意活动。

💰**TeamTNT利用加密货币挖掘获利**：为了挖掘Monero等加密货币，TeamTNT使用了各种挖矿软件，包括XMRig、T-Rex、CGMiner、BFGMiner和SGMiner。他们经常通过针对特定硬件和软件配置来优化挖矿操作。最终，他们的目标是劫持资源用于加密货币挖矿或出售被入侵系统的访问权限。 例如，他们会利用被入侵的服务器的计算能力来挖掘加密货币，并将其转换为现金。他们还会出售被入侵系统的访问权限，例如将访问权限出售给其他黑客组织。 TeamTNT使用各种挖矿软件来挖掘加密货币，例如XMRig、T-Rex等。他们还会优化挖矿操作，以提高挖矿效率。最终，他们的目标是通过加密货币挖掘或出售被入侵系统的访问权限来获利。

本文详细介绍了臭名昭著的黑客组织 TeamTNT 利用暴露的 Docker 守护进程部署恶意软件的新活动，他们利用被入侵的服务器和 Docker Hub 散布攻击。他们还利用加密挖掘从受害者的计算能力中赚钱。Aqua Nautilus 的网络安全研究人员发现了一个由 Adept Libra（又名 TeamTNT）发起的新的黑客攻击活动，他们利用暴露的 Docker 守护进程部署 Sliver 恶意软件、网络蠕虫和加密货币。TeamTNT 是一个臭名昭著的黑客组织，以对云原生环境发动侵略性和持续性攻击而闻名。该组织以利用 Docker 守护进程和 Kubernetes 集群的漏洞部署恶意软件和劫持资源进行加密货币挖矿而闻名。在最近的一次活动中，TeamTNT 入侵了一个合法的 Docker Hub 账户（nmlm99）来托管恶意软件，上传了大约 30 个分为两类的镜像：基础设施和影响。基础架构镜像用于传播恶意软件，而影响镜像则侧重于挖掘加密货币或出租计算能力。攻击流程和 TeamTNT 的签名TeamTNT 使用 Docker Gatling Gun 扫描大量 IP 地址（约 1670 万），查找运行在特定端口（2375、2376、4243 和 4244）上的 Docker 守护进程中的漏洞。如果发现漏洞，就会部署一个来自受攻击的 TeamTNT Docker Hub 账户的容器，运行最小化的 Alpine Linux 操作系统，并执行名为 “TDGGinit.sh ”的恶意脚本。该脚本很可能为被入侵系统上的进一步恶意活动埋下伏笔。“TeamTNT 在本地搜索密钥和凭证，如 SSH、云元数据服务器调用等。一旦获得访问权限，他们就会通过这些账户存储和传播恶意软件。”为了逃避检测，TeamTNT 使用了 Sliver 恶意软件，这是一种比以前的工具 Tsunami 更先进、更隐蔽的工具。他们还使用 Chimaera 和 Bioset 等耳熟能详的名称来混入合法进程。此外，它们还会窃取凭证并扫描网络以寻找更多目标。TeamTNT 依靠网络服务器、Docker Hub 和各种通信协议（如 DNS、mTLS 和潜在的代理）进行指挥和控制。最终，他们的目标是劫持资源用于加密货币挖矿或出售被入侵系统的访问权限。为了挖掘 Monero 等加密货币，TeamTNT 使用了各种挖矿软件，包括 XMRig、T-Rex、CGMiner、BFGMiner 和 SGMiner。他们经常通过针对特定硬件和软件配置来优化挖矿操作。这一活动显示了 TeamTNT 的适应和发展能力，敦促各组织提高警惕并升级网络安全。该组织技术娴熟，积极主动，不怕冒险。为防范 TeamTNT 风险，组织必须投资于强大的安全实践，包括软件更新和网络基础设施安全。