Os pesquisadores de segurança cibernética da Unidade 42, a equipe de inteligência da Paolo Alto Networks, publicaram um perfil de uma nova campanha de malware que visa os clusters Kubernetes e pode ser usada para fins de criptojacking.
“Criptojacking” é um termo do setor para ataques furtivos de criptomoedas que funcionam instalando malware que usa o poder de processamento de um computador para minerar criptomoedas – frequentemente Monero (XMR) – sem o consentimento ou conhecimento do usuário.
Um cluster Kubernetes é um conjunto de nós usados para executar aplicativos em contêineres em várias máquinas e ambientes, sejam virtuais, físicos ou baseados em nuvem. De acordo com a equipe da Unidade 42, os invasores por trás do novo malware obtiveram acesso inicialmente por meio de um Kubelet mal configurado – o nome do agente do nó primário que é executado em cada nó do cluster – que permitia acesso anônimo. Depois que o cluster Kubelet foi comprometido, o malware tinha como objetivo se espalhar por um número máximo de contêineres possível, eventualmente lançando uma campanha de criptojack.
A Unidade 42 deu o apelido de “Hildegard” ao novo malware e acredita que TeamTNT é o ator de ameaça por trás dele, um grupo que já realizou uma campanha para roubar credenciais de Amazon Web Services e espalhar um aplicativo Monero-Mining furtivo para milhões de IP endereços usando um botnet de malware.
Os pesquisadores observam que a nova campanha usa ferramentas e domínios semelhantes aos das operações anteriores do TeamTNT, mas que o novo malware tem recursos inovadores que o tornam “mais furtivo e persistente”. Hildegard, em seu resumo técnico:
“Usa duas maneiras de estabelecer conexões de comando e controle (C2): um shell reverso tmate e um canal Internet Relay Chat (IRC); Usa um nome de processo conhecido do Linux (bioset) para disfarçar o processo malicioso; Usa uma técnica de injeção de biblioteca baseada em LD_PRELOAD para ocultar os processos maliciosos; criptografa a carga maliciosa dentro de um binário para tornar a análise estática automatizada mais difícil.”
Em termos de cronologia, a Unidade 42 indicou que o domínio C2 “borg.wtf” foi registrado em 24 de dezembro de 2020, com o servidor de IRC ficando online posteriormente em 9 de janeiro. Vários scripts maliciosos foram atualizados com frequência, e a campanha foi um poder de hash de cerca de 25,05 quilohashes por segundo. Em 3 de fevereiro, a Unidade 42 descobriu que 11 XMR (cerca de US$1.500) estavam armazenados na carteira associada.
Desde a detecção inicial da equipe, no entanto, a campanha ficou inativa, levando a Unidade 42 a arriscar que “a campanha de ameaças pode ainda estar no estágio de reconhecimento e armamento.” Com base em uma análise dos recursos do malware e dos ambientes de destino, no entanto, a equipe prevê que um ataque em larga escala está a caminho, com consequências potencialmente mais abrangentes:
“O malware pode aproveitar os abundantes recursos de computação em ambientes Kubernetes para criptojacking e potencialmente exfiltrar dados confidenciais de dezenas a milhares de aplicativos em execução nos clusters.”
Devido ao fato de que um cluster Kubernetes normalmente contém mais de um único host e que cada host pode, por sua vez, executar vários contêineres, a Unidade 42 ressalta que um cluster Kubernetes sequestrado pode resultar em uma campanha de criptojacking de malware particularmente lucrativa. Para as vítimas, o sequestro dos recursos de seu sistema por meio de tal campanha pode causar uma interrupção significativa.
Já rico em recursos e mais sofisticado do que os esforços anteriores da TeamTNT, os pesquisadores aconselharam os clientes a usar uma estratégia de segurança na nuvem que alertará os usuários sobre uma configuração insuficiente do Kubernetes para permanecer protegidos contra a ameaça emergente.
