Threat Database Malware Logiciel malveillant Hildegard

Logiciel malveillant Hildegard

Le groupe de hackers connu sous le nom de TeamTNT a lancé une nouvelle campagne menaçante qui vise à briser les clusters Kubernetes pour déployer un malware de cryptomining jamais vu auparavant appelé Hildegard Malware. Selon les experts d'Infosec, l'opération des hackers pourrait en être à ses débuts, caractérisés par une concentration accrue sur la reconnaissance et les moyens de renforcer la militarisation.

Les analyses de la menace ont révélé que le logiciel malveillant Hildegard combine des outils et des domaines déjà établis des opérations précédentes de TeamTNT avec plusieurs nouvelles capacités de menace. La menace peut établir une connexion avec l'infrastructure Command-and-Control (C2, C&C) de deux manières différentes - via un shell inversé tmate et via un canal IRC (Internet Relay Chat). Pour augmenter ses chances d'éviter la détection, Hildegard Malware cache son trafic IRC vers les serveurs C2 en posant un processus Linux légitime nommé bioset. Pour empêcher la découverte de ses processus menaçants, le logiciel malveillant Hildegard modifie le fichier /etc/ld.so.preload en utilisant une technique basée sur LD_PRELOAD. Cela permet au malware d'intercepter les fonctions importées entre les bibliothèques partagées. Enfin, pour rendre la détection statique automatisée beaucoup plus incohérente, la menace crypte sa charge utile menaçante dans un fichier binaire.

En tant que vecteur de compromis initial, Hildegard Malware exploite des kubelets mal configurés, un agent s'exécutant sur chaque nœud Kubernetes. Les Kubelets sont chargés de surveiller les spécifications des pods via le serveur d'API Kubernetes. Lorsque les pirates trouvent un tel kubelet mal configuré, ils lancent une attaque d'exécution de code à distance qui leur permet finalement d'accéder au système. Une fois à l'intérieur, les pirates informatiques ne perdent pas de temps - ils déploient et exécutent l'application logicielle tmate pour lancer un shell inversé qui pointe vers tmate.io. L'étape suivante consiste à diffuser le logiciel malveillant Hildegard sur le réseau interne en recherchant des kubelets vulnérables supplémentaires via le scanner de port Internet masscan.

Sur chaque conteneur géré par un kubelet violé, TeamTNT a déposé un script de cryptomining Monero - xmr.sh. Les chercheurs ont découvert que, jusqu'à présent, les pirates avaient réussi à amasser la somme d'environ 1500 $ en pièces Monero. Les actions de la charge utile de cryptomining peuvent complètement paralyser le système infecté en détournant une partie importante de ses ressources et en perturbant chaque application du cluster.

Tendance

Le plus regardé

Chargement...