Hildegard Malware

De hackergroep die bekend staat als TeamTNT heeft een nieuwe bedreigende campagne gelanceerd die tot doel heeft Kubernetes-clusters te doorbreken om een nooit eerder vertoonde cryptomining-malware in te zetten, de Hildegard Malware. Volgens infosec-experts bevindt de hackersoperatie zich mogelijk in de beginfase, die wordt gekenmerkt door een grotere focus op verkenning en manieren voor verdere bewapening.

Analyses van de dreiging lieten zien dat de Hildegard Malware reeds bestaande tools en domeinen van eerdere TeamTNT- operaties combineert met verschillende opvallend nieuwe dreigingsmogelijkheden. De dreiging kan op twee verschillende manieren verbinding maken met de Command-and-Control-infrastructuur (C2, C&C): via een tmate reverse shell en via een IRC-kanaal (Internet Relay Chat). Om zijn kansen te vergroten om detectie te vermijden, verbergt de Hildegard Malware zijn IRC-verkeer naar de C2-servers door een legitiem Linux-proces voor te stellen met de naam bioset. Om te voorkomen dat de bedreigende processen worden ontdekt, wijzigt de Hildegard Malware het bestand /etc/ld.so.preload met een techniek die is gebaseerd op LD_PRELOAD. Hierdoor kan de malware geïmporteerde functies tussen gedeelde bibliotheken onderscheppen. Om tot slot de geautomatiseerde statische detectie veel inconsistenter te maken, versleutelt de dreiging zijn dreigende lading in een binair bestand.

Als een eerste compromisvector maakt de Hildegard Malware misbruik van verkeerd geconfigureerde kubelets, een agent die op elk Kubernetes-knooppunt draait. Kubelets hebben de taak om te kijken naar podspecificaties via de Kubernetes API-server. Wanneer hackers zo'n verkeerd geconfigureerde kubelet vinden, starten ze een externe code-uitvoeringsaanval die ertoe leidt dat ze uiteindelijk toegang krijgen tot het systeem. Eenmaal binnen verspillen de hackers geen tijd - ze implementeren en voeren de softwaretoepassing tmate uit om een omgekeerde shell te starten die naar tmate.io verwijst. De volgende stap is om de Hildegard Malware over het interne netwerk te verspreiden door te zoeken naar extra kwetsbare kubelets via de masscan-internetpoortscanner.

Op elke container die wordt beheerd door een doorbroken kubelet, heeft TeamTNT een Monero-cryptomining-script laten vallen - xmr.sh. Onderzoekers ontdekten dat de hackers er tot nu toe in geslaagd waren om een bedrag van ongeveer $ 1500 aan Monero-munten te verzamelen. De acties van de cryptomining-payload kunnen het geïnfecteerde systeem volledig verlammen door aanzienlijke delen van de bronnen te kapen en elke toepassing in het cluster te verstoren.