研究人员警告说,Hildegard恶意软件是“针对Kubernetes的最复杂的攻击之一”的一部分。
研究人员发现了前所未有的恶意软件,称为Hildegard,被TeamTNT威胁组织用来瞄准Kubernetes集群。
虽然最初在2021年1月被发现的希尔德加德最初被用于发起加密劫持行动,但研究人员认为,该行动可能仍处于侦察和武器化阶段。 他们警告说,最终,TeamTNT可能会通过Kubernetes环境发起更大范围的加密劫持攻击,或者从Kubernetes集群中运行的应用程序窃取数据。
“由于其看似不完整的代码库和基础架构,我们认为这一新的恶意软件活动仍在开发中,” Palo Alto Networks的研究人员Jay Chen,Aviv Sasson和Ariel Zelivansky说, 在星期三。 “在撰写本文时,Hildegard的大多数基础设施仅在线一个月。”
战役
攻击者首先通过对配置错误的kubelet进行远程代码执行攻击,从而为他们提供了匿名访问,从而获得了初始访问权限。
Kubelet在本地系统上维护一组pod。 在Kubernetes集群中,kubelet充当本地代理,通过Kubernetes API服务器监视pod规范。
一旦以这种方式立足于Kubernetes集群,攻击者便下载了tmate并发出了运行它的命令,以便为tmate.io建立反向外壳。 Tmate是一个软件应用程序,可通过SSH连接提供安全的终端共享解决方案。
然后,攻击者使用masscan Internet端口扫描程序扫描Kubernetes的内部网络,并找到其他不安全的kubelet。 然后,他们尝试将恶意的加密采矿脚本(xmr.sh)部署到这些kubelet管理的容器中。 研究人员表示,通过这些加密劫持操作,攻击者在其钱包中收集了11个XMR(约1,500美元)。
TeamTNT以前曾以不安全的Docker守护程序为目标,以部署恶意容器映像。 研究人员指出,这些Docker引擎在单个主机上运行。 另一方面,Kubernetes集群是运行容器化应用程序的一组节点,通常包含多个主机-每个主机都运行多个容器。
他们说,这意味着攻击者可以在Kubernetes基础架构中使用更丰富的资源集,这意味着被劫持的Kubernetes集群比被劫持的Docker主机更有利可图。
研究人员说:“该恶意软件的最大影响是资源劫持和拒绝服务(DoS)。” “加密劫持操作会迅速耗尽整个系统的资源,并破坏群集中的每个应用程序。”
恶意软件功能
研究人员说,尽管该恶意软件利用了TeamTNT先前活动中确定的许多相同工具和域,但它还具有多种新功能,使其更加隐蔽和持久。
首先,该恶意软件依靠两种不同的方式来建立命令和控制(C2)连接:队友反向外壳程序以及Internet中继聊天(IRC)频道。
研究人员说:“目前尚不清楚TeamTNT如何在这两个C2通道之间选择和执行任务,因为两者都可以达到相同的目的。”
Hildegard还使用了研究人员以前与TeamTNT没有关联的各种检测规避策略。 例如,该恶意软件模仿了已知的Linux进程名称(生物集)来掩饰其恶意IRC通信。
它还使用了基于LD_PRELOAD隐藏其恶意进程:“恶意软件修改了/etc/ld.so.preload文件以拦截共享库的导入功能,”研究人员解释说,“这样,当应用程序尝试识别正在运行的进程时(通过读取/下的文件proc)在容器中,找不到tmate,xmrig……”。
最后,恶意软件会在二进制文件中加密其恶意负载,从而使自动静态分析更加困难。
TNT战队
新的恶意软件只是TeamTNT的最新更改 网络犯罪集团,以基于云的攻击而闻名,其中包括针对Amazon Web Services(AWS)凭证以侵入云并使用它来挖掘Monero加密货币。
上周,研究人员发现该小组 添加了新的逃避检测工具 到其武器库,帮助国防团队避开其加密采矿恶意软件。 有时,还会看到TeamTNT对其加密采矿恶意软件部署各种更新。 在八月,发现了TeamTNT的加密矿蠕虫通过AWS云进行传播并收集凭证。 然后,在中断之后,TeamTNT组于9月返回攻击Docker和Kubernetes云实例通过滥用合法的云监控工具Weave Scope。
研究人员指出,尽管该恶意软件仍在开发中,并且该活动尚未广泛传播,但他们认为攻击者将很快使其工具成熟并开始大规模部署。
研究人员说:“新的TeamTNT恶意软件活动是针对Kubernetes的最复杂的攻击之一。” “这也是迄今为止我们从TeamTNT看到的功能最丰富的恶意软件。 特别是,威胁参与者针对初始访问,执行,防御逃避和C2开发了更为复杂的策略。 这些努力使恶意软件更加隐蔽和持久。”
下载我们的独家 免费Threatpost Insider电子书 Covid时代的世界,医疗保健安全领域陷入困境由ZeroNorth赞助,以详细了解这些安全风险对医院的日常意义以及医疗安全团队如何实施最佳实践来保护提供者和患者。 得到整个故事 立即下载电子书 –对我们!
阅读更多