病毒预报  第八百九十八期

国家计算机病毒应急处理中心通过对互联网的监测，发现TeamTNT挖矿木马的新变种正在针对Linux平台云服务主机进行攻击。与此前版本相比，该变种去除了部分与挖矿功能无关的边缘功能代码，进一步聚焦于挖矿作业，为了提高持久性和独占系统资源挖矿，该变种在清除竞品木马、持久化和进程隐藏等方面做出功能改进。 TeamTNT挖矿木马于2020年11月被首次发现，该木马通常会通过批量扫描公网上开放2375端口的云服务器获取攻击目标，之后利用Docker Remote API未授权访问漏洞对云服务器进行攻击并植入挖矿木马，利用系统运算处理能力恶意挖掘门罗币，获取经济利益。 报告称，此次发现的TeamTNT挖矿木马变种主要使用“b.sh”、“iss.sh”、“scan”和“rss.sh”等4个脚本文件实施恶意操作。其特点如下：一是在清除竞品挖矿进程后，使用带有“TeamTNT is watching you!”字样的LOCKFILE字符串覆盖相关进程的源文件；二是通过计划任务、系统服务、用户profile文件等多种方式进行持久化设置；三是篡改系统ps、top、pstree等命令，隐藏自身木马进程；四是篡改系统与重启相关的命令和服务，防止用户重启主机；五是改用Redis未授权访问漏洞对云服务器进行横向攻击传播。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心