安全厂商发现一只去年开始在云计算活跃的恶意程序TeamTNT,近日又瞄准Kubernetes集群,企图在集群间扩散且挖矿获利。
TeamTNT蠕虫从去年5月首先被趋势科技发现感染Docker以创建分布式拒绝服务攻击(DDoS)僵尸网络,部署恶意容器镜像文件,植入恶意挖矿程序。之后Cado Security发现它已经开始感染Kubernetes,且会窃取AWS凭证。
而今年一月Palo Alto旗下Unit 42安全研究人员又发现TeamTNT新一波活动,这次是感染到了Kubernetes集群。在这波活动中,攻击者是经由组态不良的允许匿名访问的kubelet进入Kubernetes。一旦取得据点,TeamTNT就会试图尽可能蔓延到其他容器,最后发动挖矿劫持。他们以恶意程序使用的tmate账号名将这新版TeamTNT称之为Hildegard。
研究人员指出,Hildegard被赋给新功能使其更神秘、更难被侦测到。它会以tmate reverse shell及IRC(Internet Relay Chat)和C&C服务器创建连接,然后以已知的Linux行程名称(bioset)自我掩饰,并根据LD_PRELOAD环境变量使用函数库注入手法隐藏恶意行程。它还会加密二进制程序中的恶意酬载(payload),提高自动化静态分析工具的侦测难度。
Hildegard的程序代码及基础架构现在还不完整,例如其C&C域名是去年12月24日才注册,IRC服务器1月9日才上线,而一些恶意script还经常更新,因此研究人员相信它还在开发中。在这段期间,Hildegard已经具备25.05 KH/s的算力,其电子钱包中已有11 XMR(约1,500美元)。
目前研究人员还未观察到Hildegard有任何活动,表示它还在侦察与武装化(weaponization)的阶段。但他们相信Hildegard背后的组织很快就会发动大规模的攻击,可能运用Kubernetes充足的计算资源挖矿、甚至从集群中数以万计的应用程序中窃取敏感资料。