Los investigadores detectan un nuevo malware dirigido a los clústeres de Kubernetes para explotar Monero

Los investigadores de ciberseguridad de la Unidad 42, el equipo de inteligencia de Paolo Alto Networks, han publicado un perfil de una nueva campaña de malware que se dirige a los clústeres de Kubernetes y se puede utilizar con fines de criptojacking.

"Cryptojacking" es un término de la industria para los ataques sigilosos de cripto minería que funcionan instalando malware que utiliza el poder de procesamiento de una computadora para extraer criptomonedas, a menudo Monero (XMR), sin consentimiento o conocimiento del usuario.

Un clúster de Kubernetes es una colección de nodos que se utilizan para ejecutar aplicaciones en contenedores en varias máquinas y entornos, ya sean virtuales, físicos o basados ​​en la nube. Según el equipo de la Unidad 42, los atacantes detrás del nuevo malware inicialmente obtuvieron acceso a través de un Kubelet configurado incorrectamente, el nombre del agente del nodo maestro que se ejecuta en cada nodo del clúster, lo que permitió el acceso anónimo. Una vez que el clúster de Kubelet se vio comprometido, el malware pretendía extenderse por tantos contenedores como fuera posible, y finalmente lanzó una campaña de cryptojacking.

Unit 42 le ha dado al nuevo malware el sobrenombre de "Hildegard" y cree que TeamTNT es el actor de amenazas detrás de él, un grupo que anteriormente ha liderado una campaña para robar las credenciales de Amazon Web Services y difundir una aplicación de minería sigilosa de monero a millones de direcciones IP utilizando un botnet malicioso.

Los investigadores señalan que la nueva campaña utiliza herramientas y áreas similares a las de las operaciones anteriores de TeamTNT, pero que el nuevo malware tiene capacidades innovadoras que lo hacen "más sigiloso y persistente". Hildegard, en su resumen técnico:

"Utiliza dos métodos para establecer conexiones de comando y control (C2): un shell inverso tmate y un canal de Internet Relay Chat (IRC); utiliza un nombre de proceso Linux conocido (bioset) para ocultar el proceso malicioso; utiliza una técnica de biblioteca basada en LD_PRELOAD herramienta de inyección para ocultar procesos maliciosos. Cifra la carga útil maliciosa en un binario para dificultar el análisis estático automatizado ".

En términos de cronograma, la Unidad 42 informó que el dominio C2 "borg.wtf" se registró el 24 de diciembre de 2020, y que el servidor de IRC se activó el 9 de enero. Varias secuencias de comandos maliciosas se actualizaron con frecuencia y la campaña tiene un poder hash de aproximadamente 25.05 kilohashs por segundo. Al 3 de febrero, la Unidad 42 descubrió que 11 XMR (aproximadamente $ 1,500) están almacenados en la billetera asociada.

Sin embargo, desde la detección inicial del equipo, la campaña ha estado inactiva, lo que llevó a la Unidad 42 a aventurar que "la campaña contra la amenaza puede estar todavía en la etapa de reconocimiento y militarización". Sin embargo, basándose en un análisis de las capacidades del malware y los entornos de destino, el equipo predice que se está produciendo un ataque a mayor escala, con consecuencias potencialmente más graves:

"El malware puede explotar los abundantes recursos informáticos de los entornos de Kubernetes para el cryptojacking y potencialmente exfiltrar datos confidenciales de decenas a miles de aplicaciones que se ejecutan en clústeres".

Dado que un clúster de Kubernetes generalmente contiene más de un host, y cada host a su vez puede ejecutar múltiples contenedores, la Unidad 42 señala que un clúster de Kubernetes secuestrado puede resultar en una campaña de criptojacking de malware particularmente lucrativa. Para las víctimas, la desviación de los recursos de su sistema mediante una campaña de este tipo puede causar una interrupción significativa.

Ya con muchas funciones y más sofisticado que los esfuerzos anteriores de TeamTNT, los investigadores han recomendado a los clientes que utilicen una estrategia de seguridad en la nube que alertará a los usuarios sobre una configuración insuficiente de Kubernetes para mantenerse protegidos contra la amenaza emergente.