Threat Database Malware Hildegard Malware

Hildegard Malware

Il gruppo di hacker noto come TeamTNT ha lanciato una nuova campagna minacciosa che mira a violare i cluster Kubernetes per distribuire un malware di cryptomining mai visto prima chiamato Hildegard Malware. Secondo gli esperti di infosec, l'operazione degli hacker potrebbe essere nelle sue fasi iniziali, caratterizzate da una maggiore attenzione alla ricognizione e ai modi per ulteriori armi.

Le analisi della minaccia hanno rivelato che il malware Hildegard combina strumenti e domini già consolidati dalle precedenti operazioni di TeamTNT con diverse funzionalità minacciose decisamente nuove. La minaccia può stabilire una connessione con l'infrastruttura Command-and-Control (C2, C&C) in due modi diversi: tramite una shell inversa tmate e tramite un canale IRC (Internet Relay Chat). Per aumentare le sue possibilità di evitare il rilevamento, Hildegard Malware nasconde il suo traffico IRC ai server C2 ponendo un processo Linux legittimo chiamato bioset. Per proteggere i suoi processi minacciosi dalla scoperta, Hildegard Malware modifica il file /etc/ld.so.preload utilizzando una tecnica basata su LD_PRELOAD. Ciò consente al malware di intercettare le funzioni importate tra le librerie condivise. Infine, per rendere il rilevamento statico automatizzato molto più incoerente, la minaccia crittografa il suo minaccioso carico utile all'interno di un file binario.

Come vettore di compromesso iniziale, Hildegard Malware sfrutta i kubelet configurati in modo errato, un agente in esecuzione su ogni nodo Kubernetes. I Kubelets hanno il compito di controllare le specifiche del pod tramite il server API Kubernetes. Quando gli hacker trovano un kubelet così configurato in modo errato, avviano un attacco di esecuzione di codice in modalità remota che alla fine ottiene l'accesso al sistema. Una volta entrati, gli hacker non perdono tempo: distribuiscono ed eseguono l'applicazione software tmate per avviare una shell inversa che punta a tmate.io. Il passaggio successivo consiste nel diffondere il malware Hildegard nella rete interna cercando kubelet vulnerabili aggiuntivi tramite lo scanner di porte Internet masscan.

Su ogni container gestito da un kubelet violato, TeamTNT ha rilasciato uno script di cryptomining Monero - xmr.sh. I ricercatori hanno scoperto che, finora, gli hacker erano riusciti ad accumulare la somma di circa $ 1500 in monete Monero. Le azioni del payload di cryptomining possono paralizzare completamente il sistema infetto dirottando porzioni significative delle sue risorse e interrompendo ogni applicazione nel cluster.

Tendenza

I più visti

Caricamento in corso...