约在4到5年前出现，专门锁定云端环境下手从事挖矿的黑客组织TeamTNT，传出近期再度出没的迹象，这次目标是运行CentOS操作系统的虚拟专属服务器（VPS）。

资安业者Group-IB指出，于2022年消声匿迹的TeamTNT，去年疑似再度从事活动的情况，黑客先是通过SSH连接存取目标主机，通过暴力破解来得到初始存取的管道，得逞后上传了恶意脚本。

该脚本先是针对受害主机进行检查，是否有其他挖矿软件进驻的情况，然后就会进行一系列的安全配置窜改，这些包含停用防火墙、NMI Watchdog，删除系统事件记录，以及更动特定系统文件夹的属性。

另一方面，该脚本也会确认受害系统是否部署阿里巴巴的资安防护机制aliyun.service，若是侦测到相关的处理进程，黑客就会从阿里云下载bash脚本来进行移除。

此脚本还会停用操作系统的防护机制SELINUX、AppArmor，接着再度检查是否有其他的挖矿软件处理进程，最终部署名为Diamorphine的rootkit程序，并将受害主机用于挖矿。

值得留意的是，这波攻击黑客试图阻止服务器管理员进行复原。黑客先是使用chattr命令来锁定、控制文件属性，接着，他们通过另一项工具tntrecht停用chattr，阻止管理员复原这些已窜改的文件属性。

接着，这些黑客也锁定该系统，并阻止管理员重开机、关机，或是恢复存取权限。最终他们使用后门帐号及授权密钥，而能够通过SSH来存取受害主机。