【安全资讯】TeamTNT的“Docker Gatling Gun”行动针对暴露的云环境，推出新型Sliver恶意软件

概要：

近期，Aqua Nautilus发布了一份报告，揭示了臭名昭著的黑客组织TeamTNT发起的大规模攻击活动，名为“Docker Gatling Gun”。该组织重新聚焦于暴露的Docker环境，利用这些环境部署加密矿工和恶意软件，甚至将被攻陷的计算能力出售给第三方。

主要内容：

TeamTNT通过将被攻陷的Docker实例附加到Docker Swarm，利用云环境的原生能力，促进恶意软件的部署。此次活动中，他们引入了强大的Sliver恶意软件，取代了之前的Tsunami后门，增强了多协议的命令与控制（C2）能力。该组织的攻击流程系统而多面，首先通过自定义攻击脚本“Docker Gatling Gun”扫描2375、2376、4243和4244端口上的暴露Docker守护进程，目标高达1670万个IP地址。

一旦获得访问权限，TeamTNT会从Docker Hub部署初始脚本TDGGinit.sh，执行带有恶意命令的Alpine Linux镜像，从而接管Docker实例。随后，他们采用多种恶意技术实现资源劫持，安装加密矿工软件或出租受害者的计算能力，获取收入。

Sliver恶意软件的引入使得C2通道更加隐蔽，支持多种协议，包括mTLS、WireGuard、HTTP(S)和DNS。通过利用本地网络，TeamTNT在同一基础设施内传播感染，将这些被攻陷的节点整合到Docker Swarm中，实现无缝控制。此外，他们还积极寻找配置错误的文件，如SSH和云服务凭证，以便通过不安全的账户传播恶意软件。为了应对TeamTNT的最新行动，Aqua Nautilus建议组织严格保护Docker环境，限制Docker守护进程的访问，定期监控Docker Hub的可疑活动，并实施多因素认证和特权访问控制。