Hildegard: il cryptojacking di TeamTNT che bersaglia Kubernetes

I ricercatori di Unit 42 hanno individuato una campagna del gruppo TeamTNT che prende di mira i container Kubernetes.

Autore: Redazione SecurityOpenLab

A gennaio 2021 i ricercatori di Unit 42 hanno rilevato una nuova campagna malware che prende di mira i cluster Kubernetes. Gli attaccanti hanno ottenuto l'accesso iniziale attraverso un kubelet configurato erroneamente che permetteva l'accesso anonimo. Una volta ottenuto un punto d'appoggio in un cluster Kubernetes, il malware ha cercato di diffondersi su quanti più container possibile, avviando infine operazioni di cryptojacking.

Sulla base di tattiche, tecniche e procedure (TTP) che gli hacker hanno usato, Unit 42 crede che questa sia una nuova campagna di TeamTNT. Il nome Hildegard deriva dall'account “tmate” utilizzato dal malware.

Il Team TNT è un gruppo noto per la specializzazione in attacchi a Docker non sicuri e nella distribuzione di immagini container pericolose. Tuttavia, questa è la prima volta che TeamTNT prende di mira gli ambienti Kubernetes. Oltre agli stessi strumenti e domini identificati nelle campagne precedenti di TeamTNT, questo nuovo malware ha molteplici nuove capacità che lo rendono più furtivo e persistente. In particolare, il suo autore ha sviluppato tattiche più sofisticate per l'accesso iniziale, l'esecuzione, l'evasione della difesa e il C2.


Nel dettaglio, questo malware si differenzia perché:  Questa nuova campagna malware potrebbe essere ancora in fase di sviluppo a causa della sua base di codice e infrastruttura apparentemente incompleta. Un indizio è che la maggior parte dell'infrastruttura di Hildegard è online solo da un mese e non c'è stata alcuna attività dopo il rilevamento iniziale. Il dominio C2 borg[.]wtf è stato registrato il 24 dicembre 2020, il server IRC è andato online il 9 gennaio 2021, e alcuni script pericolosi sono stati aggiornati frequentemente. La campagna malware ha ~25,05 KH/s di potenza di hashing, e ci sono 11 XMR (~$1.500) nel portafoglio.

Tuttavia, conoscendo le capacità di questo malware e gli ambienti di destinazione, Unit 42 prevede che il gruppo lancerà presto un attacco su larga scala. Il malware può sfruttare le abbondanti risorse di calcolo negli ambienti Kubernetes per il cryptojacking e potenzialmente estrarre dati sensibili da decine a migliaia di applicazioni in esecuzione nei cluster.

A differenza di un motore Docker che viene eseguito su un singolo host, un cluster Kubernetes contiene in genere più di un host, ognuno dei quali può eseguire più contenitori. Date le abbondanti risorse in un'infrastruttura Kubernetes, un cluster compromesso può essere più redditizio di un host Docker. Questa nuova campagna malware di TeamTNT è uno degli attacchi più complicati che prendono di mira Kubernetes.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.