Исследователи обнаружили новое вредоносное ПО, нацеленное на кластеры Kubernetes для майнинга Monero

Исследователи кибербезопасности из подразделения 42, группы разведки Paolo Alto Networks, опубликовали профиль новой вредоносной кампании, нацеленной на кластеры Kubernetes и которая может использоваться для целей криптоджекинга.

Криптоджекинг – это отраслевой термин для скрытых атак майнинга криптовалюты, которые работают путем установки вредоносного ПО, которое использует вычислительную мощность компьютера для майнинга криптовалют – часто Monero (XMR) – без согласия или ведома пользователя.

Кластер Kubernetes – это набор узлов, которые используются для запуска контейнерных приложений на нескольких машинах и средах, будь то виртуальные, физические или облачные.По словам команды Unit 42, злоумышленники, стоящие за новой вредоносной программой, изначально получили доступ через неправильно настроенный Kubelet – имя агента основного узла, который работает на каждом узле в кластере, – который разрешал анонимный доступ.После того, как кластер Kubelet был скомпрометирован, вредоносная программа была нацелена на распространение по максимальному количеству контейнеров, в конечном итоге запустив кампанию криптоджекинга.

Unit 42 дал новому вредоносному ПО прозвище «Хильдегард» и считает, что за ним стоит TeamTNT, группа, которая ранее проводила кампанию по краже учетных данных Amazon Web Services и распространению скрытого приложения для майнинга Monero на миллионы IP-адресов.с помощью вредоносного ботнета.

Исследователи отмечают, что в новой кампании используются инструменты и домены, аналогичные тем, которые использовались в предыдущих операциях TeamTNT, но что новое вредоносное ПО обладает инновационными возможностями, которые делают его «более скрытным и устойчивым».Хильдегард в своем техническом резюме:

“Uses two ways to establish command and control (C2) connections: a tmate reverse shell and an Internet Relay Chat (IRC) channel; Uses a known Linux process name (bioset) to disguise the malicious process; Uses a Library injection technique based on LD_PRELOAD to hide the malicious processes; Encrypts the malicious payload inside a binary to make automated static analysis more difficult.”

Что касается хронологии, Unit 42 указывает на то, что домен C2 borg [.] Wtf был зарегистрирован 24 декабря прошлого года, а сервер IRC впоследствии подключился к сети 9 января. Несколько вредоносных скриптов часто обновлялись, и кампанияимеет мощность хэширования ~ 25,05 кГц/с.По состоянию на 3 февраля Unit 42 обнаружил, что 11 XMR (примерно 1500 долларов США) хранились в соответствующем кошельке.

Однако с момента первоначального обнаружения командой кампания была неактивной, в результате чего Блок 42 рискнул предположить, что «кампания по угрозам все еще может быть на стадии разведки и размещения оружия».Однако, основываясь на анализе возможностей вредоносного ПО и целевых сред, команда ожидает, что готовится крупномасштабная атака с потенциально более далеко идущими последствиями:

“The malware can leverage the abundant computing resources in Kubernetes environments for cryptojacking and potentially exfiltrate sensitive data from tens to thousands of applications running in the clusters.”

В связи с тем, что кластер Kubernetes обычно содержит более одного хоста, и что каждый хост, в свою очередь, может запускать несколько контейнеров, Unit 42 подчеркивает, что захваченный кластер Kubernetes может привести к особенно прибыльной кампании криптоджекинга вредоносных программ.Для жертв захват ресурсов их системы с помощью такой кампании может вызвать серьезные нарушения.

Уже будучи многофункциональным и более сложным, чем предыдущие попытки TeamTNT, исследователи советуют клиентам использовать стратегию облачной безопасности, которая будет предупреждать пользователей о недостаточной конфигурации Kubernetes, чтобы оставаться защищенными от возникающей угрозы.