Новости Новая вредоносная программа взламывает кластеры Kubernetes для майнинга Monero

Тема в разделе "Новости", создана пользователем Mr. Pickles, 11 фев 2021.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    858
    Симпатии:
    236
    Исследователи предупреждают о появлении вредоносной программы Hildegard, используемой про проведении «одного из самых сложных видов атак, целью которых является Kubernetes».

    Исследователями была обнаружена ранее неизвестная вредоносная программа под названием Hildegard, которая использовалась группой злоумышленников, известной как TeamTNT, для проведения атаки на кластеры Kubernetes.

    Несмотря на то, что обнаруженная в январе 2021 года программа Hildegard изначально использовалась для запуска операций, связанных с криптоджекингом, исследователи уверены в том, что в целом кампания, проводимая злоумышленниками, всё ещё находится на стадии разведки и подготовки дополнительных средств атаки. Поэтому исследователи предупреждают, что TeamTNT могут осуществить более масштабную атаку, направленную на «хищение» вычислительных ресурсов через среду Kubernetes или кражу данных приложений, работающих в кластерах Kubernetes.
    Суть кампании

    Начинается всё с того, что злоумышленники получают начальный доступ через неправильно сконфигурированный агент узла kubelet путём удалённого выполнения кода, обеспечивающего анонимность такого доступа.

    Kubelet поддерживает набор подов (модулей) локальной системы. В рамках кластера Kubernetes kubelet выполняеет функции локального агента, просматривающего характеристики модулей через API Kubernetes.

    Закрепившись таким образом в кластере Kubernetes, злоумышленник загружает tmate и запускает его при помощи команды, чтобы создать соединение обратное tmate.io. tmate является программным приложением, обеспечивающим возможность безопасного совместного использования терминалов через соединение SSH.

    1.png

    Затем злоумышленник пользуется сканером интернет-портов massacan, чтобы найти внутреннюю сеть Kubernetes и другие незащищённые агенты kubelet. После этого он пытается развернуть скрипт для майнинга криптовалюты (xmr.sh) в контейнерах, которые управляются этими агентами kubelet. Как утверждают исследователи, путём криптоджекминга злоумышленникам удалось заполучить в свой кошелёк 11 XMR (примерно 1500 долларов США).

    Ранее TeamTNT совершили атаку на незащищённые демоны Docker, чтобы развернуть вредоносные образы контейнеров. Исследователи отмечают, что эти подсистемы Docker работали на одном хосте. С другой стороны, кластеры Kubernetes, представляющие собой набор узлов, на которых работают контейнеризированные приложения, как правило содержат более одного хоста, и на каждом хосте работает множество контейнеров.

    Это означает, что в руках злоумышленников оказывается более богатый набор ресурсов в рамках инфраструктуры Kubernetes. То есть, взломанный кластер Kubernetes приносит больше выгоды, чем взломанный хост Docker.
    Возможности вредоносной программы

    Как утверждают исследователи, несмотря на то, что вредоносная программа использует многие инструменты и домены, которые уже применялись TramTNT при проведении прошлых атак, она также обладает множеством новых возможностей, делающих её более незаметной и устойчивой.

    Прежде всего, вредоносная программа использует два разных пути для установки соединений управления и контроля (C2): обратное подключение tmate, а также канал Internet Relay Chat (IRC).

    «Пока неясно, по какому принципу TeamTNT выбирает, какой из этих двух каналов C2 использовать, и как распределяет задачи, поскольку оба из них могут служить для достижения одной и той же цели», — говорят исследователи.

    Hildegard также использует различную тактику ухода от обнаружения, которую исследователям пока не удалось связать с TeamTNT. Например, вредоносное ПО воспроизводит известное название процесса Linux (bioset), чтобы замаскировать свои вредоносные IRC соединения.

    Также программа с целью сокрытия вредоносных процессов использует технологию внедрения библиотек на базе LD_PRELOAD: «Вредоносная программа изменяет файл /etc/ld.so.preload и перехватывает импортированные функции совместно используемых библиотек, — пояснили исследователи. — Таким образом, когда приложения пытаются идентифицировать выполняемые в контейнерах процессы (путём считывания файлов под /proc), tmate, xmrig … не будут найдены».

    Наконец, программа шифрует свою вредоносную полезную нагрузку внутри двоичного файла, что затрудняет автоматический статистический анализ.

    TeamTNT

    Новая вредоносная программа является лишь последним изменением ПО, использованного ранее группой киберпреступников TeamTNT, которая уже атаковала облачные сервисы, включая Amazon Web Services (AWS), когда целью стали учётные записи. Тогда задача злоумышленников состояла во взломе облачного сервиса и его использование для майнинга криптовалюты Monero.

    На прошлой неделе исследователи обнаружили, что арсенал преступной группы пополнился инструментом, позволяющим избежать обнаружения, что помогает вредоносному ПО, используемому для майнинга криптовалюты, скрываться от специалистов по безопасности. Время от времени также наблюдалась активность TeamTNT, связанная с обновлением вредоносных программ для незаконного майнинга. Так в августе червь, разработанный этой группой, был обнаружен в облаке AWS, где он занимался сбором учётных данных. Затем, спустя какое-то время затишья, TeamTNT вновь объявились в сентябре и атаковали облачные сервисы Docker и Kubernetes, взломав законный инструмент для мониторинга облачной активности под названием Weave Scope.

    Исследователи отметили, что несмотря на то, что вредоносная программа ещё находится на стадии разработки, а кампания ещё не ведётся в полной мере, они уверены в том, что злоумышленники уже скоро усовершенствуют свои инструменты и приступят к широкомасштабному развёртыванию.
    ---

    Источник: New Malware Hijacks Kubernetes Clusters to Mine Monero

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.