1.媒体来源:ithome 2.记者署名林妍溱 3.完整新闻标题:TeamTNT蠕虫程式再进化,在Kubernetes丛集间感染、挖矿
4.完整新闻内文:安全厂商发现一只去年开始在云端活跃的恶意程式TeamTNT,近日又瞄准Kubernetes丛集,企图在丛集间扩散且挖矿获利。
TeamTNT蠕虫从去年5月首先被趋势科技发现感染Docker以建立分布式阻断服务攻击(DDoS)僵尸网络,部署恶意容器映像档,植入恶意挖矿程式。之后Cado Security发现它已经开始感染Kubernetes,且会窃取AWS凭证。
而今年一月Palo Alto旗下Unit 42安全研究人员又发现TeamTNT新一波活动,这次是感染到了Kubernetes丛集。在这波活动中,攻击者是经由组态不良的允许匿名存取的kubelet进入Kubernetes。一旦取得据点,TeamTNT就会试图尽可能蔓延到其他容器,最后发动挖矿劫持。他们以恶意程式使用的tmate帐号名将这新版TeamTNT称之为Hildegard。
研究人员指出,Hildegard被赋予新功能使其更神祕、更难被侦测到。它会以tmate reverse shell及IRC(Internet Relay Chat)和C&C服务器建立连线,然后以已知的Linux行程名称(bioset)自我掩饰,并根据LD_PRELOAD环境变量使用函式库注入手法隐藏恶意行程。它还会加密二进制程式中的恶意酬载(payload),提高自动化静态分析工具的侦测难度。
Hildegard的程式码及基础架构现在还不完整,例如其C&C网域是去年12月24日才注册,IRC服务器1月9日才上线,而一些恶意script还经常更新,因此研究人员相信它还在开发中。在这段期间,Hildegard已经具备25.05 KH/s的算力,其电子钱包中已有11 XMR(约1,500美元)。
目前研究人员还未观察到Hildegard有任何活动,表示它还在侦察与武装化(weaponization)的阶段。但他们相信Hildegard背后的组织很快就会发动大规模的攻击,可能运用Kubernetes充足的运算资源挖矿、甚至从丛集中数以万计的应用程式中窃取敏感资料。
5.完整新闻连结 (或短网址):https://www.ithome.com.tw/news/142730 6.备注: