Обнаружена опасность для майнинга Monero

0

Исследователи кибербезопасности из Unit 42, группы разведки Palo Alto Networks, опубликовали профиль новой вредоносной кампании, нацеленной на кластеры Kubernetes для майнинга Monero, которая может использоваться для целей криптоджекинга.

«Cryptojacking» (криптоджекинг) — это отраслевой термин, обозначающий скрытые атаки крипто-майнинга, которые работают путем установки вредоносного ПО, которое использует вычислительную мощность компьютера для добычи криптовалют — часто Monero ( XMR ) — без согласия или ведома пользователя.

Кластер Kubernetes — это набор узлов, которые используются для запуска контейнерных приложений на нескольких машинах и средах, будь то виртуальные, физические или облачные. По словам команды Unit 42, злоумышленники, стоящие за новым вредоносным ПО, изначально получили доступ через неправильно настроенный Kubelet — имя агента основного узла, который запускается на каждом узле в кластере, — который разрешал анонимный доступ. После того, как кластер Kubelet был скомпрометирован, вредоносная программа была нацелена на распространение по максимально возможному количеству контейнеров, в конечном итоге запустив кампанию криптоджекинга.

Unit 42 дал новому вредоносному ПО прозвище «Хильдегард» и считает, что за ним стоит TeamTNT, группа, которая ранее проводила кампанию по краже учетных данных Amazon Web Services и распространению скрытого приложения для майнинга Monero на миллионы IP-адресов. адреса с помощью вредоносного ботнета.

Исследователи отмечают, что в новой кампании используются инструменты и домены, аналогичные тем, которые использовались в предыдущих операциях TeamTNT, но что новое вредоносное ПО обладает инновационными возможностями, которые делают его «более скрытным и устойчивым». Хильдегард в своем техническом резюме:

Использует два способа установления соединений управления и контроля (C2): обратная оболочка tmate и канал Internet Relay Chat (IRC); Использует известное имя процесса Linux (bioset), чтобы замаскировать вредоносный процесс; Использует технику внедрения библиотеки, основанную на LD_PRELOAD, чтобы скрыть вредоносные процессы; шифрует вредоносные данные внутри двоичного файла, чтобы затруднить автоматический статический анализ.

Что касается хронологии, Unit 42 указал, что домен C2 «borg.wtf» был зарегистрирован 24 декабря 2020 г., а IRC-сервер впоследствии подключился к сети 9 января. Несколько вредоносных скриптов часто обновлялись, и кампания была хэш-мощность около 25,05 килохешей в секунду. По состоянию на 3 февраля Unit 42 обнаружил, что 11 XMR (примерно 1500 долларов США) хранились в соответствующем кошельке.

Однако с момента первоначального обнаружения командой кампания была неактивной, в результате чего Блок 42 рискнул заявить, что «кампания по угрозам все еще может быть на стадии разведки и размещения оружия». Однако, основываясь на анализе возможностей вредоносного ПО и целевых сред, команда ожидает, что готовится крупномасштабная атака с потенциально более далеко идущими последствиями:

Вредоносное ПО может использовать обильные вычислительные ресурсы в средах Kubernetes для криптоджекинга и потенциально извлекать конфиденциальные данные из десятков и тысяч приложений, работающих в кластерах.

В связи с тем, что кластер Kubernetes обычно содержит более одного хоста, и что каждый хост, в свою очередь, может запускать несколько контейнеров, Unit 42 подчеркивает, что захваченный кластер Kubernetes может привести к особенно прибыльной кампании криптоджекинга вредоносных программ. Для жертв захват ресурсов их системы с помощью такой кампании может вызвать значительные нарушения.

Уже будучи многофункциональным и более сложным, чем предыдущие попытки TeamTNT, исследователи посоветовали клиентам использовать стратегию облачной безопасности, которая будет предупреждать пользователей о недостаточной конфигурации Kubernetes, чтобы оставаться защищенными от возникающей угрозы.

Оставьте ответ

Ваш электронный адрес не будет опубликован.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More