Trang chủ Sự kiện Các nhà nghiên cứu phát hiện phần mềm độc hại mới lây nhiễm Kubernetes Cluster để khai thác Monero

Các nhà nghiên cứu phát hiện phần mềm độc hại mới lây nhiễm Kubernetes Cluster để khai thác Monero

bởi Tuyết Tâm

Ngành công nghiệp tiền điện tử đã bị cản trở bởi các loại phần mềm độc hại khác nhau khó phát hiện và thường có thể dẫn đến mất tiền và thông tin cá nhân.

Các nhà nghiên cứu an ninh mạng tại Unit42, nhóm tình báo tại Paolo Alto Networks, đã báo cáo rằng đã phát hiện ra một chiến dịch phần mềm độc hại mới nhắm mục tiêu vào các cụm Kubernetes và cả để tấn công tiền điện tử.

Kubernetes cluster về cơ bản là một tập hợp các nút chạy các ứng dụng được chứa trong nhiều máy và môi trường. Điều này có thể là ảo, vật lý hoặc dựa trên đám mây. Các nhà nghiên cứu nói thêm rằng những kẻ tấn công đằng sau phần mềm độc hại mới đã có được quyền truy cập thông qua một Kubelet bị định cấu hình sai – tên của tác nhân nút chính chạy trên mỗi nút trong cụm – cho phép truy cập ẩn danh.

Khi cụm bị xâm phạm, phần mềm độc hại được thiết kế để lây nhiễm càng nhiều vùng chứa càng tốt và cuối cùng khởi động một cuộc tấn công tiền điện tử, là một cuộc tấn công khai thác tiền điện tử lén lút sử dụng sức mạnh xử lý của máy tính để khai thác tiền điện tử, trong hầu hết các trường hợp là Monero (XMR), mà sự đồng ý của chủ sở hữu.

Các nhà nghiên cứu đang gọi phần mềm độc hại mới là “Hildegard” và ước tính rằng TeamTNT là nhóm đứng sau vụ này. Nhóm này trước đây đã thực hiện các cuộc tấn công đánh cắp thông tin xác thực từ Amazon Web Services và cũng lây nhiễm hàng triệu địa chỉ IP bằng ứng dụng khai thác Monero bằng botnet phần mềm độc hại.

Các nhà nghiên cứu cũng tìm thấy những điểm tương đồng giữa các công cụ và miền đang được sử dụng bởi các chiến dịch mới, nhưng phần mềm độc hại mới “lén lút và dai dẳng hơn”. Các nhà nghiên cứu nói rằng:

“[Hildegard] Sử dụng hai cách để thiết lập kết nối lệnh và điều khiển (C2): một trình bao đảo ngược tmate và một kênh Trò chuyện Chuyển tiếp Internet (IRC); Sử dụng tên quy trình Linux đã biết (tập hợp bioset) để ngụy trang quy trình độc hại; Sử dụng kỹ thuật chèn thư viện dựa trên LD_PRELOAD để ẩn các quy trình độc hại; Mã hóa tải trọng độc hại bên trong tệp nhị phân để làm cho phân tích tĩnh tự động khó khăn hơn. ”

Đây có phải là sự khởi đầu?

Unit42 lưu ý rằng miền C2 “borg.wtf” đã được đăng ký vào ngày 24 tháng 12 năm 2020 và máy chủ IRC sau đó đã hoạt động vào ngày 9 tháng 1. Một số tập lệnh độc hại đã được cập nhật và chiến dịch có tổng sức mạnh băm là 25,05 kilohashes mỗi thứ hai. Tính đến thời điểm hiện tại, các nhà nghiên cứu đã tìm thấy 11 XMR được lưu trữ trong ví được liên kết.

Kể từ thời điểm phần mềm độc hại được phát hiện lần đầu tiên, chiến dịch đã không hoạt động, và do đó Unit42 tin rằng “Chiến dịch đe dọa có thể vẫn đang trong giai đoạn do thám và vũ khí hóa”. Dựa trên khả năng của phần mềm độc hại, các nhà nghiên cứu tin rằng một cuộc tấn công quy mô lớn hơn đang xuất hiện ở phía trước.

“Phần mềm độc hại có thể tận dụng tài nguyên máy tính dồi dào trong môi trường Kubernetes để tấn công tiền điện tử và có khả năng lấy cắp dữ liệu nhạy cảm từ hàng chục đến hàng nghìn ứng dụng đang chạy trong cụm”.

Unit42 khuyên khách hàng nên sử dụng chiến lược bảo mật đám mây sẽ thông báo cho người dùng về cấu hình Kubernetes không đủ để duy trì sự bảo vệ trước mối đe dọa xuất hiện.

0 bình luận

Có thể bạn cũng quan tâm

Để lại bình luận