Malware de Hildegard
El grupo de hackers conocido como TeamTNT ha lanzado una nueva campaña amenazante que tiene como objetivo violar los clústeres de Kubernetes para implementar un malware de criptominería nunca antes visto llamado Hildegard Malware. Según los expertos en seguridad de la información, la operación de los piratas informáticos puede estar en sus primeras etapas que se caracterizan por un mayor enfoque en el reconocimiento y las formas de armamento adicional.
Los análisis de la amenaza revelaron que Hildegard Malware combina herramientas y dominios ya establecidos de operaciones anteriores de TeamTNT con varias capacidades de amenaza notablemente nuevas. La amenaza puede establecer una conexión con la infraestructura de Comando y Control (C2, C&C) de dos formas diferentes: a través de un shell inverso tmate y a través de un canal IRC (Internet Relay Chat). Para aumentar sus posibilidades de evitar la detección, Hildegard Malware oculta su tráfico IRC a los servidores C2 presentando un proceso Linux legítimo llamado bioset. Para evitar que sus procesos amenazantes sean descubiertos, Hildegard Malware modifica el archivo /etc/ld.so.preload utilizando una técnica basada en LD_PRELOAD. Esto permite que el malware intercepte funciones importadas entre bibliotecas compartidas. Finalmente, para hacer que la detección estática automatizada sea mucho más inconsistente, la amenaza cifra su carga útil amenazante dentro de un archivo binario.
Como vector de compromiso inicial, Hildegard Malware aprovecha los kubelets mal configurados, un agente que se ejecuta en cada nodo de Kubernetes. Los Kubelets tienen la tarea de vigilar las especificaciones del pod a través del servidor API de Kubernetes. Cuando los piratas informáticos encuentran un kubelet tan mal configurado, inician un ataque de ejecución de código remoto que, en última instancia, les da acceso al sistema. Una vez dentro, los piratas informáticos no pierden tiempo: despliegan y ejecutan la aplicación de software tmate para iniciar un shell inverso que apunta a tmate.io. El siguiente paso es difundir Hildegard Malware a través de la red interna buscando kubelets vulnerables adicionales a través del escáner de puertos de Internet masscan.
En cada contenedor administrado por un kubelet violado, TeamTNT lanzó un script de criptominería de Monero: xmr.sh. Los investigadores descubrieron que, hasta ahora, los piratas informáticos habían logrado acumular la suma de aproximadamente $ 1500 en monedas Monero. Las acciones de la carga útil de criptominería pueden paralizar por completo el sistema infectado al secuestrar porciones significativas de sus recursos e interrumpir todas las aplicaciones del clúster.
