Hildegard Malware

Hacker-gruppen kendt som TeamTNT har lanceret en ny truende kampagne, der sigter mod at bryde Kubernetes-klynger for at implementere en aldrig før set kryptomining-malware kaldet Hildegard Malware. Ifølge eksperter fra infosec kan hackernes operation være i sine tidlige faser, der er kendetegnet ved et øget fokus på rekognoscering og måder til yderligere våbenisering.

Analyser af truslen afslørede, at Hildegard Malware kombinerer allerede etablerede værktøjer og domæner fra tidligere TeamTNT- operationer med flere markant nye truende kapaciteter. Truslen kan etablere en forbindelse med Command-and-Control (C2, C&C) infrastrukturen på to forskellige måder - gennem en tmate reverse shell og via en IRC-kanal (Internet Relay Chat). For at øge sine chancer for at undgå afsløring skjuler Hildegard Malware sin IRC-trafik til C2-serverne ved at udgøre en legitim Linux-proces med navnet bioset. For at beskytte sine truende processer mod at blive opdaget ændrer Hildegard Malware filen /etc/ld.so.preload ved hjælp af en teknik baseret på LD_PRELOAD. Dette gør det muligt for malware at opfange importerede funktioner mellem delte biblioteker. Endelig for at gøre automatiseret statisk detektion langt mere inkonsekvent krypterer truslen sin truende nyttelast inde i en binær fil.

Som en indledende kompromisvektor udnytter Hildegard Malware forkert konfigurerede kubeletter, en agent, der kører på hver Kubernetes-node. Kubelets har til opgave at se efter podspecifikationer via Kubernetes API-server. Når hackere finder sådan en forkert konfigureret kubelet, indleder de et eksternt kodeudførelsesangreb, der resulterer i, at de i sidste ende får adgang til systemet. Når de er inde, spilder hackerne ingen tid - de implementerer og udfører softwareapplikationen tmate for at starte en omvendt shell, der peger på tmate.io. Det næste trin er at sprede Hildegard Malware på tværs af det interne netværk ved at lede efter yderligere sårbare kubeletter via masscan-internetport-scanneren.

På hver container, der forvaltes af en brudt kubelet, faldt TeamTNT et Monero-kryptomining-script - xmr.sh. Forskere opdagede, at hackerne indtil videre havde formået at samle summen af ca. $ 1500 i Monero-mønter. Den kryptominerende nyttelasts handlinger kan lamme det inficerede system fuldstændigt ved at kapre betydelige dele af dets ressourcer og forstyrre enhver applikation i klyngen.