Uma nova campanha de cryptojacking, atribuída ao grupo TeamTNT, está focando servidores baseados no sistema operacional CentOS, particularmente em infraestruturas de servidores virtuais privados (VPS). Pesquisadores da empresa de cibersegurança Group-IB relataram que o ataque é iniciado através de uma força bruta no protocolo Secure Shell (SSH), permitindo que os atacantes carreguem scripts maliciosos nos sistemas das vítimas. Esses scripts são projetados para desabilitar recursos de segurança, deletar logs, interromper processos de mineração de criptomoedas em execução e dificultar os esforços de recuperação.

O objetivo final da campanha é implantar o rootkit Diamorphine, permitindo que os invasores ocultem processos maliciosos e mantenham acesso remoto persistente ao servidor comprometido. Com base nas táticas, técnicas e procedimentos (TTPs) observados, os pesquisadores associam essa campanha ao grupo TeamTNT com um nível moderado de confiança. O grupo, que foi identificado pela primeira vez em 2019, é conhecido por realizar atividades de mineração ilegal de criptomoedas, explorando ambientes de nuvem e containers. Embora o TeamTNT tenha anunciado sua “saída limpa” em novembro de 2021, campanhas subsequentes sugerem que o grupo continuou suas operações desde setembro de 2022.

O malware usado na campanha começa verificando se o sistema já foi infectado por outras operações de cryptojacking. Em seguida, o script compromete a segurança do dispositivo ao desabilitar o SELinux, o AppArmor e o firewall. Também busca daemons específicos relacionados ao provedor de nuvem Alibaba, removendo serviços da plataforma quando detectados. Além de interromper outros processos de mineração, o malware executa comandos para apagar qualquer vestígio de mineradores anteriores, encerra processos containerizados e remove imagens de containers que possam estar associadas a atividades de mineração.