Warning: call_user_func_array() expects parameter 1 to be a valid callback, function 'coliseum_easy_horst_heating' not found or invalid function name in /home2/internetmoney/public_html/wp-includes/class-wp-hook.php on line 324

Warning: call_user_func_array() expects parameter 1 to be a valid callback, function 'slake_boastfully_midwife' not found or invalid function name in /home2/internetmoney/public_html/wp-includes/class-wp-hook.php on line 324

Warning: call_user_func_array() expects parameter 1 to be a valid callback, function 'fop_enqueue_conditional_scripts' not found or invalid function name in /home2/internetmoney/public_html/wp-includes/class-wp-hook.php on line 324

Warning: call_user_func_array() expects parameter 1 to be a valid callback, function 'guard_merge_happily_meaningfully' not found or invalid function name in /home2/internetmoney/public_html/wp-includes/class-wp-hook.php on line 324

Warning: call_user_func_array() expects parameter 1 to be a valid callback, function 'wsp_enqueue_scripts_conditionally' not found or invalid function name in /home2/internetmoney/public_html/wp-includes/class-wp-hook.php on line 324
Cercetătorii au detectat noi programe malware care vizează clusterele Kubernetes către minele Monero | InternetMoney
Ultimele Stiri 

Cercetătorii au detectat noi programe malware care vizează clusterele Kubernetes către minele Monero

alex Niciun comentariu



Cercetătorii de securitate cibernetică de la Unitatea 42, echipa de informații de la Paolo Alto Networks, au avut publicat un profil al unei noi campanii malware care vizează clusterele Kubernetes și care poate fi utilizat în scopuri de criptojacking.

„Cryptojacking” este un termen din industrie pentru atacurile stealth de cripto-exploatare care funcționează prin instalarea de malware care utilizează puterea de procesare a unui pc pentru a extrage criptomonedele – frecventXMR) – fără consimțământul sau cunoștințele utilizatorului.

Un cluster Kubernetes este un set de noduri care sunt utilizate pentru a rula aplicații containerizate pe mai multe mașini și medii, fie că sunt virtuale, fizice sau bazate pe cloud. Potrivit echipei Unit 42, atacatorii din spatele noului malware au obținut acces inițial printr-un Kubelet neconfigurat – numele agentului principal de nod care rulează pe fiecare nod din cluster – care permitea accesul anonim. Odată ce clusterul Kubelet a fost compromis, malware-ul a urmărit răspândirea pe un număr maxim de containere posibil, lansând în cele din urmă o campanie de criptojacking.

Unitatea 42 a dat porecla „Hildegard” noului malware și crede că TeamTNT este actorul de amenințare din spatele acestuia, un grup care a derulat anterior o campanie către fura acreditările Amazon Web Services și răspândiți o aplicație stealth Monero-mining la milioane de adrese IP folosind un botnet malware.

Cercetătorii observă că noua campanie folosește instrumente și domenii similare cu cele din operațiunile anterioare TeamTNT, dar că noul malware are capabilități inovatoare care îl fac „mai stealth și mai persistent”. Hildegard, în rezumatul lor tehnic:

„Folosește două modalități de a stabili conexiuni de comandă și management (C2): un shell inversat tmate și un canal Web Relay Chat (IRC); Folosește un nume de proces Linux cunoscut (bioset) pentru a masca procesul rău intenționat; Folosește o tehnică de injectare a bibliotecii bazată pe LD_PRELOAD pentru a ascunde procesele rău intenționate; Criptează sarcina utilă rău intenționată din interiorul unui binar pentru a face analiza statică automată mai dificilă. „

În ceea ce privește cronologia, Unitatea 42 a indicat că domeniul C2 „borg.wtf” a fost înregistrat pe 24 decembrie 2020, serverul IRC urmând să fie on-line on-line pe 9 ianuarie. Mai multe scripturi rău intenționate au fost actualizate frecvent, iar campania a fost actualizată. o putere hash de aproximativ 25,05 kilohashes pe secundă. Începând cu 3 februarie, Unitatea 42 a constatat că 11 XMR (aproximativ 1.500 USD) au fost stocate în portofelul asociat.

Cu toate acestea, de la detectarea inițială a echipei, campania a fost inactivă, determinând Unitatea 42 să se aventureze că „Campania de amenințare poate fi încă în stadiul de recunoaștere și armare”. Cu toate acestea, pe baza unei analize a capabilităților malware-ului și a mediilor țintă, echipa anticipează că se află în curs de desfășurare un atac la scară mai mare, cu consecințe potențial mai ample:

„Programul malware poate utiliza resursele de calcul abundente din mediile Kubernetes pentru criptojacking și poate exfiltra date sensibile de la zeci la mii de aplicații care rulează în clustere.”

Datorită faptului că un cluster Kubernetes conține de obicei mai mult de o singură gazdă și că fiecare gazdă poate, la rândul său, să ruleze mai multe containere, Unitatea 42 subliniază faptul că un cluster Kubernetes deturnat poate duce la o campanie de criptojacking malware deosebit de profitabilă. Pentru victime, deturnarea resurselor sistemului lor printr-o astfel de campanie poate provoca perturbări semnificative.

Deja bogate în caracteristici și mai sofisticate decât eforturile anterioare ale TeamTNT, cercetătorii au sfătuit clienții să utilizeze o strategie de securitate în cloud care să alerteze utilizatorii despre o configurație Kubernetes insuficientă pentru a rămâne protejați împotriva amenințării emergente.