TeamTNT розпочала нову масштабну кампанію, спрямовану на хмарні сервіси для майнінгу криптовалют. Використовуючи скомпрометовані сервери, зловмисники не лише майнять криптовалюту, але й здають ресурси в оренду третім особам.
їTeamTNT фокусується на відкритих Docker-сервісах для розповсюдження шкідливого ПЗ, включаючи Sliver і криптомайнери, через облікові записи Docker Hub, щоб охопити більше серверів. Розслідування, проведене Aqua Security, виявило використання інфраструктури Docker для автоматизованого поширення загроз, зокрема шляхом впровадження зловмисного програмного забезпечення через інструменти масового сканування портів. Компанія Datadog повідомила, що TeamTNT також залучає атаковані Docker-сервіси до мережі Docker Swarm, що розширює їхню незаконну інфраструктуру. Замість Tsunami група використовує новий фреймворк Sliver, щоб отримати віддалений контроль над інфікованими машинами.
TeamTNT добре відома в кіберпросторі своєю здатністю швидко адаптуватися до нових технологій нелегального майнінгу. Вперше організація привернула до себе увагу, коли атакувала хмарну інфраструктуру з метою викрадення обчислювальних ресурсів. Їхні дії включали сканування доступних Docker API та впровадження шкідливих контейнерів для маскування своїх операцій та оптимізації ресурсів.