病毒预报  第八百九十八期

国家计算机病毒应急处理中心通过对互联网的监测,发现TeamTNT挖矿木马的新变种正在针对Linux平台云服务主机进行攻击。与此前版本相比,该变种去除了部分与挖矿功能无关的边缘功能代码,进一步聚焦于挖矿作业,为了提高持久性和独占系统资源挖矿,该变种在清除竞品木马、持久化和进程隐藏等方面做出功能改进。 TeamTNT挖矿木马于2020年11月被首次发现,该木马通常会通过批量扫描公网上开放2375端口的云服务器获取攻击目标,之后利用Docker Remote API未授权访问漏洞对云服务器进行攻击并植入挖矿木马,利用系统运算处理能力恶意挖掘门罗币,获取经济利益。 报告称,此次发现的TeamTNT挖矿木马变种主要使用“b.sh”、“iss.sh”、“scan”和“rss.sh”等4个脚本文件实施恶意操作。其特点如下:一是在清除竞品挖矿进程后,使用带有“TeamTNT is watching you!”字样的LOCKFILE字符串覆盖相关进程的源文件;二是通过计划任务、系统服务、用户profile文件等多种方式进行持久化设置;三是篡改系统ps、top、pstree等命令,隐藏自身木马进程;四是篡改系统与重启相关的命令和服务,防止用户重启主机;五是改用Redis未授权访问漏洞对云服务器进行横向攻击传播。






联系方式:
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心