Threat Database Malware Hildegard Malware

Hildegard Malware

O grupo de hackers conhecido como TeamTNT lançou uma nova campanha ameaçadora que visa violar os clusters do Kubernetes para implantar um malware de criptomineração nunca antes visto, chamado Hildegard Malware. De acordo com especialistas da Infosec, a operação dos hackers pode estar em seus estágios iniciais, caracterizados por um foco maior no reconhecimento e nas formas de armamentos adicionais.

As análises da ameaça revelaram que o Hildegard Malware combina ferramentas e domínios já estabelecidos de operações anteriores do TeamTNT com vários recursos de ameaça marcadamente novos. A ameaça pode estabelecer uma conexão com a infraestrutura de Comando e Controle (C2, C&C) de duas maneiras diferentes - por meio de um shell reverso tmate e por meio de um canal IRC (Internet Relay Chat). Para aumentar suas chances de evitar a detecção, o Hildegard Malware oculta seu tráfego de IRC para os servidores C2, apresentando um processo legítimo do Linux chamado bioset. Para evitar que seus processos ameaçadores sejam descobertos, o Hildegard Malware modifica o arquivo /etc/ld.so.preload usando uma técnica baseada em LD_PRELOAD. Isso permite que o malware intercepte funções importadas entre bibliotecas compartilhadas. Finalmente, para tornar a detecção estática automatizada muito mais inconsistente, a ameaça criptografa sua carga ameaçadora dentro de um arquivo binário.

Como um vetor de compromisso inicial, o Hildegard Malware explora kubelets configurados incorretamente, um agente em execução em cada nó do Kubernetes. Os Kubelets têm a tarefa de monitorar as especificações do pod por meio do servidor da API Kubernetes. Quando os hackers encontram um kubelet mal configurado, eles iniciam um ataque de execução remota de código que resulta no acesso ao sistema. Uma vez lá dentro, os hackers não perdem tempo - eles implantam e executam o aplicativo de software tmate para iniciar um shell reverso que aponta para tmate.io. A próxima etapa é espalhar o Malware Hildegard pela rede interna procurando por kubelets vulneráveis adicionais por meio do digitalzador de porta da Internet em massa.

Em cada contêiner gerenciado por um kubelet violado, o TeamTNT descartou um script de criptominação Monero - xmr.sh. Os pesquisadores descobriram que, até agora, os hackers conseguiram acumular a soma de aproximadamente US $1.500 em moedas Monero. As ações da carga útil da mineração de moeda digital podem paralisar completamente o sistema infectado, sequestrando porções significativas de seus recursos e interrompendo todos os aplicativos do cluster.

Tendendo

Mais visto

Carregando...