Crypto malware cible les clusters Kubernetes, disent les chercheurs

Une souche nouvellement découverte de logiciels malveillants, surnommé Hildegaard, indique une campagne imminente de cyberattaques contre les clusters Kubernetes par le gang de cybercriminalité TeamTNT centré sur le cloud, selon des chercheurs de l’équipe unité 42 de Palo Alto Networks.

Hildegaard a été repéré pour la première fois en janvier 2021, et son infrastructure ne semble avoir été en ligne que pour un peu plus longtemps que cela, son domaine de commandement et de contrôle (C2) n’ayant été enregistré que la veille de Noël 2020.

Lors de l’incident initialement détecté, l’unité 42 a déclaré que le groupe avait obtenu un accès initial par l’intermédiaire d’un kubelet mal configuré qui permettait un accès anonyme. Une fois qu’ils ont pris pied dans le cluster cible Kubernetes, le malware a tenté de s’étendre sur plusieurs conteneurs pour lancer des opérations de cryptojacking, drainant les ressources du système, provoquant le déni de service, et perturbant les applications en cours d’exécution dans le cluster compromis.

« Il n’y a pas eu d’activité depuis notre détection initiale, ce qui indique que la campagne de menace est peut-être encore à l’étape de la reconnaissance et de l’armement. Cependant, connaissant les capacités et les environnements cibles de ce malware, nous avons de bonnes raisons de croire que le groupe va bientôt lancer une attaque à plus grande échelle », ont déclaré les chercheurs de l’Unité 42 dans un blog de divulgation.

« Le malware peut tirer parti des ressources informatiques abondantes dans les environnements Kubernetes pour cryptojacking et potentiellement exfiltrer les données sensibles de dizaines à des milliers d’applications en cours d’exécution dans les clusters. »

Les chercheurs ont déclaré que c’était la première fois teamTNT a été vu ciblant les environnements Kubernetes, et leur nouveau malware porte plusieurs nouvelles fonctionnalités pour le rendre plus furtif et plus persistant – entre autres choses, il a de multiples façons d’établir des connexions C2, cache son activité « derrière » un processus légitime et facilement négligé linus noyau, et crypte sa charge utile malveillante à l’intérieur d’un binaire pour rendre l’analyse statique automatisée plus difficile.

« Cette nouvelle campagne de logiciels malveillants TeamTNT est l’une des attaques les plus compliquées ciblant Kubernetes. C’est aussi le malware le plus riche en fonctionnalités que nous avons vu de TeamTNT jusqu’à présent », a déclaré l’équipe. « En particulier, l’acteur de la menace a mis au point des tactiques plus sophistiquées pour l’accès initial, l’exécution, l’évasion de la défense et la C2. Ces efforts rendent le malware plus furtif et persistant.

L’équipe soupçonne TeamTNT d’avoir tourné son attention vers Kubernetes car, contrairement à un moteur Docker qui fonctionne sur un seul hôte, un cluster Kubernetes peut généralement contenir plus d’un hôte, chacun d’eux peut exécuter plusieurs conteneurs. Cela signifie que le détournement d’un cluster Kubernetes pour cryptomining fonctionne beaucoup plus rentable que le détournement d’un hôte Docker.

Les clients existants de Palo Alto qui exécutent son service Prisma Cloud sont déjà protégés de Hildegaard par sa protection par temps d’exécution, sa détection de cryptomineurs et ses fonctionnalités de sécurité Kubernetes.

Plus d’informations sur ce malware émergent, y compris des détails plus détaillés sur les tactiques, techniques et procédures de TeamTNT, et des indicateurs spécifiques de compromis peuvent être lus ici.

Le groupe TeamTNT a vu le jour en 2020 et s’est fait un nom en ciblant les hôtes Docker mal sécurisés et mal configurés et en les exploitant pour des activités de cryptominage.

Depuis lors, le gang a quelque peu affiné ses capacités, et vole maintenant activement des informations d’identification pour Docker et Amazon Web Services, comme le détaile un récent rapport de Trend Micro.