Hildegard Malware
Die als TeamTNT bekannte Hacker-Gruppe hat eine neue Bedrohungskampagne gestartet, die darauf abzielt, Kubernetes-Cluster zu durchbrechen, um eine nie zuvor gesehene Cryptomining-Malware namens Hildegard Malware bereitzustellen. Laut Infosec-Experten befindet sich die Operation der Hacker möglicherweise in einem frühen Stadium, das durch einen verstärkten Fokus auf Aufklärung und Möglichkeiten für weitere Waffen gekennzeichnet ist.
Analysen der Bedrohung ergaben, dass die Hildegard-Malware bereits etablierte Tools und Domänen aus früheren TeamTNT- Vorgängen mit mehreren deutlich neuen Bedrohungsfunktionen kombiniert. Die Bedrohung kann auf zwei verschiedene Arten eine Verbindung mit der Command-and-Control-Infrastruktur (C2, C & C) herstellen - über eine Tmate-Reverse-Shell und über einen IRC-Kanal (Internet Relay Chat). Um die Wahrscheinlichkeit zu erhöhen, dass keine Erkennung erfolgt, verbirgt die Hildegard-Malware ihren IRC-Verkehr zu den C2-Servern, indem sie einen legitimen Linux-Prozess namens Bioset bereitstellt. Um zu verhindern, dass bedrohliche Prozesse entdeckt werden, ändert die Hildegard-Malware die Datei /etc/ld.so.preload mithilfe einer auf LD_PRELOAD basierenden Technik. Dadurch kann die Malware importierte Funktionen zwischen gemeinsam genutzten Bibliotheken abfangen. Um die automatische statische Erkennung weitaus inkonsistenter zu gestalten, verschlüsselt die Bedrohung ihre bedrohliche Nutzlast in einer Binärdatei.
Als ersten Kompromissvektor nutzt die Hildegard-Malware falsch konfigurierte Kubelets, einen Agenten, der auf jedem Kubernetes-Knoten ausgeführt wird. Kubelets haben die Aufgabe, über den Kubernetes-API-Server nach Pod-Spezifikationen zu suchen. Wenn Hacker ein solches falsch konfiguriertes Kubelet finden, initiieren sie einen Remote-Code-Ausführungsangriff, der dazu führt, dass sie letztendlich Zugriff auf das System erhalten. Einmal drinnen, verschwenden die Hacker keine Zeit - sie stellen die Softwareanwendung tmate bereit und führen sie aus, um eine Reverse-Shell zu initiieren, die auf tmate.io verweist. Der nächste Schritt besteht darin, die Hildegard-Malware über das interne Netzwerk zu verbreiten, indem über den Masscan-Internet-Port-Scanner nach zusätzlichen anfälligen Kubelets gesucht wird.
Auf jedem Container, der von einem beschädigten Kubelet verwaltet wird, hat TeamTNT ein Monero-Cryptomining-Skript geliefert - xmr.sh. Die Forscher stellten fest, dass es den Hackern bisher gelungen war, die Summe von Monero-Münzen im Wert von etwa 1500 US-Dollar anzuhäufen. Die Aktionen der Cryptomining-Nutzdaten können das infizierte System vollständig lahm legen, indem sie erhebliche Teile ihrer Ressourcen entführen und jede Anwendung im Cluster stören.
