‘Hildegard-malware valt Kubernetes clusters aan voor cryptomining’

Abonneer je gratis op Techzine!

De securityexperts van Palo Alto Networks hebben nieuwe malware ontdekt die specifiek Kubernetes clusters aanvalt. De ontdekte ‘Hildegard’-malware, afkomstig van de beruchte hackers van TeamTNT, richt zich speciaal op cryptomining.

Volgens Unit42 van Palo Alto valt de Hildegard-malware Kubernetes clusters aan via verkeerd geconfigureerde kubelets. Dit zijn de primary node agents die op iedere Kubernetes-node draaien. Wanneer de malware tot deze Kubernetes-nodes toegang heeft gekregen, dan verspreidt het zich over zoveel mogelijk containers voordat het de cryptojack-activiteiten lanceert. Bij deze activiteiten worden de geïnfecteerde servers of netwerken misbruikt voor cryptomining.

Moeilijk te ontdekken

De Hildegard-malware is moeilijk te ontdekken en ontwikkeld om lang in de systemen van slachtoffers aanwezig te zijn. De malware gebruikt bijvoorbeeld twee verschillende manieren om met de C&C-server te verbinden. De ene manier is via internet relay chat en een zogenoemde ‘tmate reverse shell’. Dit laatste is een vorm van terminal session-communicatie. Ook doet de malware zich voor als een soort Linux-proces om zijn communicatie met de C&C-server te verbergen.

TeamTNT-groep belangrijkste verdachte

De specialisten van Unit42 ontdekten de Hildegard-malware afgelopen januari. De malware gebruikt veel van dezelfde tools en domeinen die door de hackers van de TeamTNT-groep worden gebruikt, zodat de link makkelijk is te leggen. De hackers van TeamTNT kwamen vorige maand ook al in het nieuws doordat zij zich met een botnet Docker- en AWS-inloggegevens wisten te ontvreemden. Deze aanval richtte zich ook op het installeren van cryptomining malware.

Veel schade mogelijk

Volgens Unit42 kan de Hildegard-malware bedrijven veel schade berokkenen. Vooral door het overnemen van de servers en het veroorzaken van denial of service van applicaties. De cryptojacking-activiteiten kunnen de hele systeembronnen gebruiken en daardoor iedere applicatie binnen het getroffen cluster verstoren.

De experts verwachten dat, nu bedrijven steeds meer containertechnologie inzetten en gebruiken, dat dit soort aanvallen inde nabije toekomst flink zullen toenemen. Bedrijven zijn gewaarschuwd en moeten volgens Unit42 hiervoor nu al maatregelen gaan nemen.