Crypto Malware Targets Kubernetes集群,比如研究人员
根据Palo Alto Networks 42团队的研究人员,云彩的团队犯罪团伙据研究人员称,新发现了恶意软件,被称为Hildegaard,指向云中心的Counttnt网络犯罪团伙的迫在眉睫的网络攻击活动。
Hildegaard于2021年1月首次发现,它的基础设施似乎只有一点时间超过一步,其命令和控制(C2)域仅在圣诞节前夕2020上注册。
在最初检测到的事件中,单元42表示,该组通过允许匿名访问的Misconpd Kubelet获得初始访问。一旦它们在目标Kubernetes集群中获得立足点,恶意软件就会尝试传播多个容器,以启动密码浏览操作,排放系统资源,导致拒绝服务,并扰乱在受损群集中运行的应用程序。
“自我们的初始检测以来,没有任何活动,这表明威胁活动可能仍然存在于侦察和武器化阶段。然而,了解这个恶意软件的能力和目标环境,我们有充分的理由相信,该集团将很快推出更大规模的攻击,“单位42在披露博客中的研究人员表示。
“恶意软件可以利用Kubernetes环境中的丰富的计算资源,以便在群集中的数十到数千个应用程序中加密和潜在地抵抗敏感数据。”
研究人员表示,这是Teamtnt首次被视为针对Kubernetes环境的Teamtnt,而他们的新恶意软件带来了几种新功能,使其使它隐秘,更持久地 - 以及其他事情,它有多种建立C2连接的方法,隐藏其活动“合法且易于忽略的Linus内核进程,并在二进制中加密其恶意有效载荷,以使自动静态分析更加困难。
“这个新的TeamTnt Malware Campaign是针对Kubernetes的最复杂的攻击之一。这也是我们到目前为止从Teamtnt看到的最具特色丰富的恶意软件,“团队表示。“特别是,威胁演员已经开发出更复杂的初始访问,执行,防御逃避和C2的策略。这些努力使恶意软件更隐秘和持久。“
该团队怀疑Teamtnt对Kubernetes的注意力转过身来,因为与在单个主机上运行的Docker引擎不同,Kubernetes群集通常包含多个主机,每个主机都可以运行多个容器。这意味着劫持Kubernetes集群,用于加密的群体比劫持Docker主机更有利可图。
运行其PRISMA云服务的现有PALO ALTO客户已通过其运行时保护,Cryptomin检测和Kubernetes安全功能免受Hildegaard。
有关此新兴恶意软件的详细信息,包括Teamtnt的策略,技术和程序的更多深入详细信息,并在此阅读妥协的特定指标。
Teamtnt集团于2020年首次出现,并为自己创造了一个糟糕的安全和误解码头主持人,并利用它们进行加密活动。
从那时起,该团伙已经改进了它的能力,现在正在积极窃取码头和亚马逊网络服务的凭证,详见了最近的趋势科技报告。