Des clusters de Kubernetes détournés par un nouveau malware

Des chercheurs ont découvert un malware inédit, surnommé Hildegard, qui est utilisé par le groupe de menaces TeamTNT pour cibler les clusters Kubernetes.

Alors que Hildegard, initialement détecté en Janvier 2021, est initialement utilisé pour lancer des opérations de crypto-jacking, les chercheurs pensent que la campagne pourrait encore en être au stade de la reconnaissance et du développement. Finalement, préviennent-ils, TeamTNT pourrait lancer une attaque de crypto-jacking à plus grande échelle via des environnements Kubernetes ou dérober des données à des applications exécutées dans des clusters Kubernetes.

«Nous pensons que cette nouvelle campagne contre les logiciels malveillants est toujours en cours de développement en raison de son code et de son infrastructure qui sont apparemment incomplets», ont déclaré Jay Chen, Aviv Sasson et Ariel Zelivansky, chercheurs de Palo Alto Networks. «Au moment de la rédaction de cet article, la majeure partie de l’infrastructure de Hildegard n’était en ligne que depuis un mois.»

La campagne de Hildegard

Les pirates informatiques ont d’abord obtenu un accès initial en ciblant un kubelet mal configuré avec une attaque d’exécution de code à distance qui leur a donné un accès anonyme.

Le kubelet maintient un ensemble de pods sur un système local. Au sein d’un cluster Kubernetes, le kubelet fonctionne comme un agent local qui surveille les spécifications des pods via le serveur d’API de Kubernetes.

Une fois installé dans un cluster Kubernetes de cette manière, l’attaquant a téléchargé tmate et a émis une commande pour l’exécuter afin d’établir un shell inversé vers tmate.io. Tmate est une application logicielle qui fournit une solution de partage de terminal sécurisé via une connexion SSH.

word image

Ensuite, l’attaquant a utilisé le scanner de port Internet Masscan pour scanner le réseau interne de Kubernetes et trouver d’autres kubelets non sécurisés. Ils ont ensuite tenté de déployer un script de crypto-minage malveillant (xmr.sh) dans des conteneurs gérés par ces kubelets. Les chercheurs ont déclaré qu’à partir de ces opérations de crypto-jacking, les attaquants ont collecté 11 XMR (~ 1250€) dans leur portefeuille.

TeamTNT a déjà ciblé des daemons Docker non sécurisés afin de déployer des images de conteneurs malveillantes. Les chercheurs ont noté que ces moteurs Docker fonctionnent sur un seul hôte. D’autre part, les clusters Kubernetes, qui sont l’ensemble des nœuds qui exécutent des applications en conteneur, contiennent généralement plus d’un hôte, chaque hôte exécutant plusieurs conteneurs.

Cela signifie que les attaquants peuvent travailler avec un ensemble de ressources plus abondantes dans une infrastructure Kubernetes – ce qui signifie qu’un cluster Kubernetes détourné peut être plus rentable qu’un hôte Docker détourné, ont-ils déclaré.

«L’impact le plus important du malware est le détournement de ressources et le déni de service (DoS)», ont déclaré les chercheurs. «L’opération de crypto-jacking peut épuiser rapidement toutes les ressources du système et perturber toutes les applications du cluster.»

Les capacités de malware

Bien que le logiciel malveillant utilise plusieurs des mêmes outils et domaines identifiés dans les campagnes précédentes de TeamTNT, il possède également de multiples nouvelles fonctionnalités qui le rendent plus furtif et persistant, ont déclaré les chercheurs.

D’une part, le logiciel malveillant repose sur deux méthodes disparates pour établir des connexions de commande et de contrôle (C2): le shell inversé tmate, ainsi qu’un canal IRC (Internet Relay Chat).

«On ne sait pas comment TeamTNT choisit et effectue des tâches entre ces deux canaux C2, car les deux peuvent servir le même objectif», ont déclaré les chercheurs.

kubernetes cryptojacking

Hildegard utilise également diverses tactiques d’évasion de détection que les chercheurs n’avaient pas auparavant associées à TeamTNT. Par exemple, le malware imite un nom de processus Linux connu (bioset) pour masquer ses communications IRC malveillantes.

Il utilise également une technique d’injection de bibliothèque basée sur LD_PRELOAD pour masquer ses processus malveillants: «Le malware a modifié le fichier /etc/ld.so.preload pour intercepter les fonctions importées des bibliothèques partagées», ont expliqué les chercheurs, «De cette façon, lorsque les applications essaient d’identifier les processus en cours d’exécution (en lisant les fichiers sous /proc) dans les conteneurs, tmate, xmrig… ne seront pas trouvés. »

Enfin, le malware crypte sa charge utile malveillante dans un binaire pour rendre l’analyse statique automatisée plus difficile.

TeamTNT

Le nouveau malware n’est que la dernière actualité du groupe de cybercriminels TeamTNT, connu pour ses attaques basées sur le cloud, notamment pour cibler les informations d’identification Amazon Web Services (AWS) afin de pénétrer dans le cloud et de l’utiliser pour exploiter la crypto-monnaie Monero.

La semaine dernière, les chercheurs ont découvert que le groupe avait ajouté un nouvel outil de détection-évasion à son arsenal, aidant son malware de crypto-minage à échapper aux équipes de défense. De temps en temps, TeamTNT a également été observé en train de déployer diverses mises à jour de son malware de crypto-minage. En Août, le ver de crypto-minage de TeamTNT a été découvert en train de se propager dans le cloud AWS et de collecter les informations d’identification. Puis, après une pause, le groupe TeamTNT est revenu en Septembre pour attaquer les instances cloud Docker et Kubernetes en abusant d’un outil de surveillance cloud légitime appelé Weave Scope.

Les chercheurs ont noté que si le malware est encore en cours de développement et que la campagne n’est pas encore répandue, ils pensent que l’attaquant va bientôt faire évoluer ses outils et commencer un déploiement à grande échelle.

«Cette nouvelle campagne de malware de TeamTNT est l’une des attaques les plus complexes ciblant Kubernetes», ont déclaré les chercheurs. «C’est aussi le malware le plus riche en fonctionnalités que nous ayons vu de la part de TeamTNT jusqu’à présent. En particulier, l’acteur de la menace a développé des tactiques plus sophistiquées pour l’accès initial, l’exécution, l’évasion de la défense et le serveur C2. Ces efforts rendent le malware plus furtif et persistant. »

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires