Компания Unit 42, занимающаяся кибербезопасностью, обнаружила новую версию ботнета TeamTnT для майнинга криптовалюты Monero.
Новый вариант криптоджекинга под названием «Black-T», следует традиционной практике нацеливания на открытые API-интерфейсы Docker. Конкретная вредоносная программа имеет специализацию на сканировании сети.
Заражение новым вирусом начинается с фазы очистки, которая предназначена для освобождения системных ресурсов от других криптомайнеров и вредоносных программ, которые могут находиться в скомпрометированной системе. «Black-T» сканирует такие процессы, как kswapd0, ntpd miner, redis-backup miner, auditd miner, миграционный майнер и, наконец, майнер-червь Crux. После их отключения Black-T запускает процесс XMRig для подготовки системы к майнингу XMR (Monero).
Следующим шагом вредоносной программы является активация нескольких своих сканеров. Существует “masscan” для сканирования IP-портов, “libpcap” для прослушивания сетевого пакетного трафика, “pnscan” для сканирования сети, “zgrab” (zmap) и “jq” (процессор JSON).
Unit 42 считает, что наличие всех этих инструментов свидетельствует о планах TeamTNT по включению в это вредоносное ПО более сложных функций, таких как возможность сканирования не только систем с возможностью возврата, но и конкретных уязвимостей.
Новый червь также теперь сканирует порт 5555, чего раньше не не замечалось. Одно из возможных объяснений заключается в том, что Black-T может быть настроен для целевых устройств Android в будущем, но пока это остается загадкой.
Напомним, что зловредное ПО для майнинга Monero, приписываемый группе TeamTnT, впервые было обнаружено в мае этого года.
Виталик Бутерин
Чарли Ли
Джозеф Любин
Брэд Гарлингхаус
Артур Хейс
Чжао Чанпен
Джастин Сан