Container - Kubernetes - Cryptojacking
Malware-Kampagne nimmt Kubernetes-Cluster ins Visier
Hildegard auf der Spur
Palo Alto Networks hat eine neue Malware-Kampagne entdeckt, die auf Kubernetes-Cluster abzielt. Die Angreifer verschafften sich zunächst Zugang über ein falsch konfiguriertes kubelet , das anonymen Zugriff erlaubt. Sobald sie in einem Kubernetes-Cluster Fuß gefasst hat, versucht die Malware, sich über so viele Container wie möglich auszubreiten und startet schließlich Cryptojacking-Operationen. Aufgrund der von den Angreifern verwendeten Taktiken, Techniken und Verfahren gehen die Forscher davon aus, dass es sich um eine neue Kampagne von TeamTNT handelt. Palo Alto Networks bezeichnete diese neue Malware als Hildegard, den Benutzernamen des tmate-Kontos, das die Malware verwendete.
TeamTNT ist dafür bekannt, ungeschützte Docker-Daemons auszunutzen und bösartige Container-Images zu verteilen, wie in früheren Untersuchungen dokumentiert (Cetus, Black-T and TeamTNT DDoS). Dies ist jedoch das erste Mal, dass die Bedrohungsgruppe auf Kubernetes-Umgebungen abzielt. Zusätzlich zu den gleichen Tools und Domains, die in den früheren TeamTNT-Kampagnen identifiziert wurden, verfügt die aktuelle Malware über mehrere neue Fähigkeiten, die sie noch besser getarnt und hartnäckiger machen. Insbesondere haben die Forscher festgestellt, dass die Hildegard-Malware von TeamTNT die folgenden Merkmale aufweist:
- Sie nutzt zwei Wege, um Command-and-Control (C2)-Verbindungen herzustellen: einen tmate Reverse Shell- und einen Internet Relay Chat (IRC)-Kanal
- Sie verwendet einen bekannten Linux-Prozessnamen (bioset), um bösartige Aktivitäten zu verschleiern.
- Sie nutzt eine auf LD_PRELOAD basierende Library-Injection-Technik, ebenfalls, um bösartige Prozesse zu verbergen.
- Sie verschlüsselt die bösartige Nutzlast innerhalb einer Binärdatei, um eine automatisierte statische Analyse zu erschweren.
Palo Alto Networks geht davon aus, dass sich diese neue Malware-Kampagne noch in der Entwicklung befindet, da die Codebasis und die Infrastruktur unvollständig zu sein scheinen. Seit der ersten Entdeckung gab es keine weiteren Aktivitäten, was darauf hindeutet, dass derzeit erst die Phase der Erkundung und Bewaffnung stattfinden könnte. Da die Forscher jedoch die Fähigkeiten dieser Malware und die Zielumgebungen kennen, haben sie guten Grund zu der Annahme, dass die Gruppe bald einen Angriff größeren Ausmaßes starten wird.
Im Gegensatz zu einer Docker-Engine, die auf einem einzigen Host läuft, enthält ein Kubernetes-Cluster in der Regel mehr als einen Host und jeder Host kann mehrere Container ausführen. Die Malware kann die reichlich vorhandenen Rechenressourcen in Kubernetes-Umgebungen für Cryptojacking nutzen und potenziell sensible Daten von Anwendungen, die in den Clustern laufen, exfiltrieren. Ein gekapertes Kubernetes-Cluster kann somit profitabler sein als ein gekaperter Docker-Host.
Diese neue TeamTNT-Malware-Kampagne ist einer der kompliziertesten Angriffe, die auf Kubernetes abzielen. Es handelt sich auch um die Malware mit den meisten Funktionen, die Palo Alto Networks bisher bei TeamTNT beobachtet hat. Insbesondere haben die Bedrohungsakteure stärker ausgefeilte Taktiken für den anfänglichen Zugriff, die Ausführung, die Umgehung der Verteidigung und C2 entwickelt.
Kunden von Palo Alto Network, die Prisma Cloud einsetzen, sind vor dieser Bedrohung durch die Funktionen Runtime Protection, Cryptominer Detection und durch die Prisma Cloud Compute Kubernetes Compliance Protection geschützt. Letztere warnt bei einer unzureichenden Kubernetes-Konfiguration und bietet sichere Alternativen an.
