TeamTNT挖矿木马变种针对云服务器进行感染和传播

2020年12月15日，我国网络安全企业腾讯公司安全研究团队发布报告称，监测发现一种名为“TeamTNT”的挖矿木马于今年11月开始发生了功能更新，新变种对数据回传和横向移动的模块代码进行了升级优化，同时保留了旧版本挖矿木马利用Docker Remote API未授权访问漏洞针对云服务器进行入侵传播的能力，感染规模和威胁级别都有进一步扩大的趋势。 TeamTNT挖矿木马于2020年11月被首次发现，该木马通过批量扫描公网上开放2375端口的云服务器获取攻击目标，之后会利用Docker Remote API未授权访问漏洞对云服务器进行攻击。此次发现的TeamTNT新型变种对其数据回传和横向移动的模块进行了功能升级和性能优化。在成功入侵云服务器后，TeamTNT新型变种会隐藏进程，通过安装定时任务实现持久化驻留，并收集主机上的隐私数据（如主机用户名和密码、RSA登录凭证、AWS CLI跨账户授权信息、docker配置信息）上传到C2服务器。与此同时，为了控制更多“肉鸡系统”，增加挖矿收益，攻击者还利用SSH复用连接进行横向移动以感染更多服务器。TeamTNT本次更新的模块文件为spread_rsa.sh，主要作用是数据回传、横向移动， 此次发现的TeamTNT新型变种对数据回传和横向移动的模块进行了功能升级和性能优化，新增了主机隐私数据收集和SSH端口扫描功能，显然是为了进一步扩大传播范围所做的准备工作，应该引起我方重视。建议国内重要单位、企业以及相关云服务提供商采取以下措施予以防范：一是对服务器资源占用情况进行排查，发现已感染服务器尽快进行隔离，关闭所有网络连接，禁用网卡；二是避免Docker Remote API的2375端口在非必要情况下暴露在公网中，如必须暴露公网，则需要配置访问控制策略；三是排查当前主机docker容器，检查是否存在非正常容器，如有发现立刻将其停止并删除；四是定期对服务器进行加固和备份，尽早修复服务器相关组件的安全漏洞，并及时进行软件升级。