I ricercatori dell’Unità 42 hanno rilevato un nuovo malware che viene utilizzato per colpire i cluster Kubernetes. Denominato Hildegard, questo nuovo malware è uno degli attacchi più complicati che prende di mira Kubernetes.

I ricercatori, sulla base delle tattiche, tecniche e procedure (TTP) utilizzate dagli attaccanti, ritengono che questa sia una nuova campagna del gruppo di minacce TeamTNT.

Gli attaccanti hanno ottenuto l’accesso tramite un kubelet mal configurato che consentiva l’accesso anonimo e, una volta preso piede in un cluster Kubernetes, il malware ha tentato di diffondersi su più container e alla fine ha avviato operazioni di cryptojacking.

Hildegard è anche il malware di TeamTNT più ricco di funzionalità. Oltre agli stessi strumenti e domini identificati nelle precedenti campagne, l’attore della minaccia ha sviluppato tattiche più sofisticate per l’accesso iniziale, l’esecuzione, l’evasione della difesa e C2 che lo rendono più furtivo e persistente:

  • Utilizza due modi per stabilire connessioni di comando e controllo (C2): una shell inversa tmate e un canale IRC (Internet Relay Chat).
  • Utilizza un nome di processo Linux noto (bioset) per mascherare il processo dannoso.
  • Utilizza una tecnica di inserimento della libreria basata su LD_PRELOAD per nascondere i processi dannosi.
  • Crittografa il payload dannoso all’interno di un binario per rendere più difficile l’analisi statica automatizzata.

I ricercatori di Palo Alto Networks ritengono che il malware sia ancora in fase di sviluppo a causa della sua base di codice e infrastruttura apparentemente incompleta e che la campagna non sia ancora ampiamente diffusa. La maggior parte dell’infrastruttura di Hildegard è online da solo un mese.

Tuttavia, sebbene non ci sia stata alcuna attività dal rilevamento iniziale, il che indica che la campagna delle minacce potrebbe essere ancora in fase di ricognizione e armamento, conoscendo le capacità e gli ambienti di destinazione di questo malware, i ricercatori hanno buone ragioni per credere che il gruppo lancerà presto un attacco su larga scala. Hildegard può sfruttare le abbondanti risorse di elaborazione negli ambienti Kubernetes per il cryptojacking e potenzialmente esfiltrare dati sensibili da decine a migliaia di applicazioni in esecuzione nei cluster.

 

https://unit42.paloaltonetworks.com/hildegard-malware-teamtnt/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE