Исследователи Unit 42 обнаружили новое вредоносное ПО для скрытого майнинга Monero, которое распространяется в контейнерных приложениях на базе Kubernetes. Read our analysis of Hildegard, new TeamTNT malware that targets #Kubernetes clusters and launches #cryptojacking operations. https://t.co/a6UAE1FcwF pic.twitter.com/aiJYlnK3v3 — Unit 42 (@Unit42_Intel) February 4, 2021Изначально злоумышленники проникли в систему через неправильно настроенный kubelet, разрешающий анонимный доступ.
После чего программа начала заражать узлы сервисов, маскируя процессы под именем Linux (bioset), внедряя библиотеки на основе LD_PRELOAD и шифруя данные внутри двоичного файла.Скрипты для скрытого майнинга Hildegard распространяются с первой половины января, но до сих пор были практически неактивны. Поэтому исследователи предполагают, что кампания хакеров находится на стадии разведки и развертывания."У нас есть веские основания полагать, что группа скоро начнет широкомасштабную атаку. Вредоносная программа может использовать вычислительные ресурсы в средах Kubernetes для скрытого майнинга и потенциально извлекать конфиденциальные данные из тысяч приложений в кластерах", – отметили в Unit 42.Сейчас вредонос имеет мощность хеширования около 25,05 kH/s, а в кошельке хакеров находится 11 XMR (более $1600 на момент написания).Команда Unit 42 предполагает, что за разработкой скриптов стоит группа хакеров TeamTNT, ответственная за ботнет для скрытого майнинга Monero, заразивший миллионы IP-адресов, и запуск червя для кражи информации об учетных записях Amazon Web Services.Ранее хакерская группировка Rocke атаковала необновленные облачные сервера Apache, Oracle и Redis с помощью вредоносного ПО Pro-Ocean для скрытого майнинга криптовалют. Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.
Свежие комментарии