El malware criptográfico se dirige a los clústeres de Kubernetes, dicen los investigadores

Una cepa de malware recientemente descubierta, denominada Hildegaard, apunta a una campaña inminente de ataques cibernéticos contra los clústeres de Kubernetes por parte de la banda de delitos informáticos TeamTNT centrada en la nube, según los investigadores del equipo de la Unidad 42 de Palo Alto Networks.

Hildegaard fue vista por primera vez en enero de 2021, y su infraestructura parece haber estado en línea solo un poco más que eso, con su dominio de comando y control (C2) registrado solo en la víspera de Navidad de 2020.

En el incidente detectado inicialmente, la Unidad 42 dijo que el grupo obtuvo acceso inicial a través de un kubelet mal configurado que permitía el acceso anónimo. Una vez que se afianzaron en el clúster de Kubernetes objetivo, el malware intentó extenderse en varios contenedores para iniciar operaciones de criptojacking, agotando los recursos del sistema, provocando la denegación de servicio e interrumpiendo las aplicaciones que se ejecutan en el clúster comprometido.

“No ha habido ninguna actividad desde nuestra detección inicial, lo que indica que la campaña de amenazas aún puede estar en la etapa de reconocimiento y armamento. Sin embargo, conociendo las capacidades de este malware y los entornos de destino, tenemos buenas razones para creer que el grupo pronto lanzará un ataque a mayor escala ”, dijeron los investigadores de la Unidad 42 en un blog de divulgación.

“El malware puede aprovechar los abundantes recursos informáticos en los entornos de Kubernetes para el cryptojacking y potencialmente exfiltrar datos confidenciales de decenas a miles de aplicaciones que se ejecutan en los clústeres”.

Los investigadores dijeron que esta era la primera vez que TeamTNT apuntaba a entornos de Kubernetes, y su nuevo malware incluye varias características nuevas para hacerlo más sigiloso y persistente; entre otras cosas, tiene múltiples formas de establecer conexiones C2, oculta su actividad “detrás ”Es un proceso del kernel de Linus legítimo y fácil de pasar por alto, y cifra su carga útil maliciosa dentro de un binario para dificultar el análisis estático automatizado.

“Esta nueva campaña de malware TeamTNT es uno de los ataques más complicados dirigidos a Kubernetes. Este es también el malware más rico en funciones que hemos visto de TeamTNT hasta ahora ”, dijo el equipo. “En particular, el actor de amenazas ha desarrollado tácticas más sofisticadas para el acceso inicial, la ejecución, la evasión de la defensa y C2. Estos esfuerzos hacen que el malware sea más sigiloso y persistente “.

El equipo sospecha que TeamTNT ha centrado su atención en Kubernetes porque, a diferencia de un motor de Docker que se ejecuta en un solo host, un clúster de Kubernetes suele contener más de un host, cada uno de los cuales puede ejecutar varios contenedores. Esto significa que secuestrar un clúster de Kubernetes para la criptominería resulta mucho más rentable que secuestrar un host Docker.

Los clientes existentes de Palo Alto que ejecutan su servicio Prisma Cloud ya están protegidos de Hildegaard por su protección en tiempo de ejecución, detección de criptomineros y características de seguridad de Kubernetes.

Puede leer más información sobre este malware emergente, incluidos detalles más profundos de las tácticas, técnicas y procedimientos de TeamTNT, e indicadores específicos de compromiso aquí.

El grupo TeamTNT surgió por primera vez en 2020 y se hizo un nombre por sí mismo apuntando a hosts Docker mal asegurados y mal configurados y explotándolos para actividades de criptominería.

Desde entonces, la pandilla ha refinado un poco sus habilidades y ahora está robando activamente credenciales para Docker y Amazon Web Services, como se detalla en un informe reciente de Trend Micro.