Des chercheurs détectent de nouveaux logiciels malveillants ciblant les clusters Kubernetes pour exploiter Monero

Des chercheurs détectent de nouveaux logiciels malveillants ciblant les clusters Kubernetes pour exploiter Monero

Crypto mogul

Les chercheurs en cybersécurité de l’Unité 42, l’équipe de renseignement de Paolo Alto Networks, ont publié le profil d’une nouvelle campagne de logiciels malveillants qui cible les clusters Kubernetes et peut être utilisée à des fins de cryptojacking.

«Cryptojacking» est un terme industriel désignant les attaques de crypto-minage furtives qui fonctionnent en installant des logiciels malveillants qui utilisent la puissance de traitement d’un ordinateur pour extraire les crypto-monnaies – souvent Monero (XMR) – sans le consentement ou la connaissance de l’utilisateur.

Un cluster Kubernetes est un ensemble de nœuds utilisés pour exécuter des applications en conteneur sur plusieurs machines et environnements, qu’ils soient virtuels, physiques ou basés sur le cloud. Selon l’équipe de Unit 42, les attaquants derrière le nouveau malware ont eu accès initialement via un Kubelet mal configuré – le nom de l’agent de nœud principal qui s’exécute sur chaque nœud du cluster – qui permettait un accès anonyme. Une fois le cluster Kubelet compromis, le malware visait à se propager sur un maximum de conteneurs possible, pour finalement lancer une campagne de cryptojacking.

L’unité 42 a donné le surnom de “Hildegard” au nouveau malware et pense que TeamTNT est l’acteur de la menace derrière lui, un groupe qui a déjà mené une campagne pour voler les informations d’identification d’Amazon Web Services et diffuser une application de minage monero furtive à des millions d’IP adresses utilisant un botnet malveillant.

Les chercheurs notent que la nouvelle campagne utilise des outils et des domaines similaires à ceux des opérations précédentes de TeamTNT, mais que le nouveau malware a des capacités innovantes qui le rendent «plus furtif et persistant». Hildegard, dans leur résumé technique:

“Utilise deux méthodes pour établir des connexions de commande et de contrôle (C2): un shell inversé tmate et un canal IRC (Internet Relay Chat); Utilise un nom de processus Linux connu (bioset) pour masquer le processus malveillant; Utilise une technique d’injection de bibliothèque basée sur LD_PRELOAD pour masquer les processus malveillants; crypte la charge malveillante dans un binaire pour rendre l’analyse statique automatisée plus difficile. “

En termes de chronologie, l’Unité 42 a indiqué que le domaine C2 “borg.wtf” a été enregistré le 24 décembre 2020, le serveur IRC étant ensuite mis en ligne le 9 janvier. Plusieurs scripts malveillants ont été fréquemment mis à jour, et la campagne a une puissance de hachage d’environ 25,05 kilohashes par seconde. Au 3 février, l’Unité 42 a constaté que 11 XMR (environ 1500 $) étaient stockés dans le portefeuille associé.

Depuis la détection initiale de l’équipe, cependant, la campagne a été inactive, ce qui a conduit l’Unité 42 à s’aventurer que «la campagne contre la menace pourrait encore être au stade de la reconnaissance et de la militarisation». Cependant, sur la base d’une analyse des capacités du malware et des environnements cibles, l’équipe prévoit qu’une attaque à plus grande échelle est en cours, avec des conséquences potentiellement plus lourdes:

“Le logiciel malveillant peut exploiter les abondantes ressources informatiques des environnements Kubernetes pour le cryptojacking et potentiellement exfiltrer les données sensibles de dizaines à milliers d’applications exécutées dans les clusters.”

Étant donné qu’un cluster Kubernetes contient généralement plus d’un hôte unique et que chaque hôte peut à son tour exécuter plusieurs conteneurs, l’Unité 42 souligne qu’un cluster Kubernetes détourné peut entraîner une campagne de cryptojacking de malware particulièrement lucrative. Pour les victimes, le détournement des ressources de leur système par une telle campagne peut entraîner des perturbations importantes.

Déjà riches en fonctionnalités et plus sophistiquées que les efforts précédents de TeamTNT, les chercheurs ont conseillé aux clients d’utiliser une stratégie de sécurité cloud qui alertera les utilisateurs d’une configuration Kubernetes insuffisante afin de rester protégés contre la menace émergente.