Аналитики угроз из AquaSec с начала сентября заметили признаки активности TeamTNT на своих приманках, что навело их на мысль, что пресловутая хакерская группа снова в действии.

TeamTNT объявила о своем уходе еще в ноябре 2021 года, и действительно, большинство связанных наблюдений с тех пор касались остатков прошлых инфекций, таких как автоматические сценарии, но не новых полезных нагрузок.

Тем не менее, недавние атаки имеют различные сигнатуры, связанные с TeamTNT, и основаны на инструментах, ранее развернутых бандой, что указывает на то, что злоумышленник, вероятно, вернется.

Исследователи наблюдали три типа атак, используемых в якобы новых атаках TeamTNT, причем наиболее интересным из них было использование вычислительной мощности захваченных серверов для запуска алгоритмов шифрования биткойнов.

Названная «Атакой кенгуру» из-за использования решателя Pollard Kangaroo WIF, атака сканирует уязвимые демоны Docker, развертывает образ AlpineOS, сбрасывает скрипт («k.sh») и в конечном итоге получает решатель с GitHub.

Алгоритм решения Полларда с интервалом кенгуру ECDLP (задача дискретного логарифма на эллиптических кривых) представляет собой попытку взломать шифрование SECP256K1, используемое в криптографии с открытым ключом Биткойн.

«Он [алгоритм] предназначен для распределенной работы, поскольку алгоритм разбивает ключ на фрагменты и распределяет их по различным узлам (атакуемым серверам), собирая результаты, которые затем локально записываются в текстовый файл», — объясняет AquaSec.

Хотя ожидается, что квантовые вычисления в какой-то момент в будущем сломают существующее шифрование биткойнов, считается невозможным добиться этого на существующих машинах, но TeamTNT, похоже, в любом случае готова опробовать теорию, используя ресурсы других людей.

Возможно, злоумышленники просто экспериментируют с новыми путями атаки, развертыванием полезной нагрузки и уклонением от обнаружения, выполняя интенсивные операции на захваченных системах, и атака «Кенгуру» отвечает всем требованиям.

Источник: secure news