Hildegard je jméno malwaru, který cílí na Monero. Výzkumníci v oblasti kybernetické bezpečnosti z Unit 42 a zpravodajský tým společnosti Paolo Alto Networks zveřejnili profil nového malwaru, která cílí na klastry Kubernetes a může být použit pro účely cryptojackingu.
Co je cryptojacking?
Cryptojacking je výraz pro tajné útoky na kryptotěžbu, které po instalaci malwaru využívají výpočetní výkon počítače k těžbě kryptoměn (často právě XMR), bez souhlasu nebo znalosti uživatele.
Kubernetes klastr je sada uzlů, která se používá ke spouštění kontejnerových aplikací na více počítačích a prostředích (virtuálních, fyzických nebo cloudových). Podle týmu Unit 42 získali útočníci díky novému malwaru přístup zpočátku prostřednictvím nesprávně nakonfigurovaného Kubeletu, který umožňoval anonymní přístup. Jakmile byl klastr Kubelet napaden, malware se rozšířil do maximálního počtu kontejnerů. A jakmile to bylo možné, zahájil útok.
Unit 42 dal tomuto malwaru přezdívku „Hildegard“ a věří, že za ním stojí TeamTNT. Jedná se o skupinu, která již dříve vedla útok za účelem odcizení pověření Amazon Web Services a rozšíření tajné aplikace pro těžbu XMR na miliony IP adres pomocí malwaru.
Hildegard a podobnost
Vědci poznamenávají, že nová kampaň používá podobné nástroje a domény jako předchozí operace skupiny TeamTNT. Nový malware má ale inovativní schopnosti, díky nimž je „nenápadnější a vytrvalejší“. Hildegard v jejich technickém shrnutí funguje takto:
„Používá dva způsoby, jak navázat spojení příkazů a řídicích systémů (C2): reverzní prostředí tmate a IRC. K maskování škodlivého procesu používá známý název procesu Linux (bioset); používá techniku vkládání do knihovny založenou na LD_PRELOAD pro skrytí škodlivých procesů. Šifruje škodlivé zatížení uvnitř binárního souboru, což ztěžuje automatickou statickou analýzu.“
Pokud jde o chronologii, Unit 42 naznačuje, že doména borg[.]wtf byla zaregistrována 24. prosince loňského roku, přičemž server IRC byl následně online 9. ledna. Několik škodlivých skriptů bylo často aktualizováno a kampaň má ~ 25,05 KH / s hashovací sílu. Od 3. února Unit 42 zjistila, že v přidružené peněžence bylo uloženo 11 XMR (zhruba 1 500 USD).
Od počátečního odhalení však byla kampaň neaktivní a vedla Unit 42 k odvážnému závěru, že „může být stále ve fázi průzkumu a zbrojení“. Na základě analýzy schopností malwaru a cílových prostředí však tým předpokládá, že se chystá rozsáhlejší útok s potenciálně dalekosáhlejšími důsledky.
Závěr
Malware, který zneužíval počítače nic netušících uživatelů k těžení kryptoměny byl jeden čas celkem častým jevem. Viry se však stávají sofistikovanější.
