Исследователи кибербезопасности из подразделения 42, группы разведки Paolo Alto Networks, опубликовали профиль новой вредоносной кампании, нацеленной на кластеры Kubernetes и которая может использоваться для целей криптоджекинга.
Криптоджекинг – это отраслевой термин для скрытых атак майнинга криптовалюты, которые работают путем установки вредоносного ПО, которое использует вычислительную мощность компьютера для майнинга криптовалют – часто Monero (XMR) – без согласия или ведома пользователя.
Кластер Kubernetes – это набор узлов, которые используются для запуска контейнерных приложений на нескольких машинах и средах, будь то виртуальные, физические или облачные.По словам команды Unit 42, злоумышленники, стоящие за новой вредоносной программой, изначально получили доступ через неправильно настроенный Kubelet – имя агента основного узла, который работает на каждом узле в кластере, – который разрешал анонимный доступ.После того, как кластер Kubelet был скомпрометирован, вредоносная программа была нацелена на распространение по максимальному количеству контейнеров, в конечном итоге запустив кампанию криптоджекинга.
Unit 42 дал новому вредоносному ПО прозвище «Хильдегард» и считает, что за ним стоит TeamTNT, группа, которая ранее проводила кампанию по краже учетных данных Amazon Web Services и распространению скрытого приложения для майнинга Monero на миллионы IP-адресов.с помощью вредоносного ботнета.
Исследователи отмечают, что в новой кампании используются инструменты и домены, аналогичные тем, которые использовались в предыдущих операциях TeamTNT, но что новое вредоносное ПО обладает инновационными возможностями, которые делают его «более скрытным и устойчивым».Хильдегард в своем техническом резюме:
“Uses two ways to establish command and control (C2) connections: a tmate reverse shell and an Internet Relay Chat (IRC) channel; Uses a known Linux process name (bioset) to disguise the malicious process; Uses a Library injection technique based on LD_PRELOAD to hide the malicious processes; Encrypts the malicious payload inside a binary to make automated static analysis more difficult.”
Что касается хронологии, Unit 42 указывает на то, что домен C2 borg [.] Wtf был зарегистрирован 24 декабря прошлого года, а сервер IRC впоследствии подключился к сети 9 января. Несколько вредоносных скриптов часто обновлялись, и кампанияимеет мощность хэширования ~ 25,05 кГц/с.По состоянию на 3 февраля Unit 42 обнаружил, что 11 XMR (примерно 1500 долларов США) хранились в соответствующем кошельке.
Однако с момента первоначального обнаружения командой кампания была неактивной, в результате чего Блок 42 рискнул предположить, что «кампания по угрозам все еще может быть на стадии разведки и размещения оружия».Однако, основываясь на анализе возможностей вредоносного ПО и целевых сред, команда ожидает, что готовится крупномасштабная атака с потенциально более далеко идущими последствиями:
“The malware can leverage the abundant computing resources in Kubernetes environments for cryptojacking and potentially exfiltrate sensitive data from tens to thousands of applications running in the clusters.”
В связи с тем, что кластер Kubernetes обычно содержит более одного хоста, и что каждый хост, в свою очередь, может запускать несколько контейнеров, Unit 42 подчеркивает, что захваченный кластер Kubernetes может привести к особенно прибыльной кампании криптоджекинга вредоносных программ.Для жертв захват ресурсов их системы с помощью такой кампании может вызвать серьезные нарушения.
Уже будучи многофункциональным и более сложным, чем предыдущие попытки TeamTNT, исследователи советуют клиентам использовать стратегию облачной безопасности, которая будет предупреждать пользователей о недостаточной конфигурации Kubernetes, чтобы оставаться защищенными от возникающей угрозы.