Los investigadores de ciberseguridad de Unit 42, el equipo de inteligencia de Palo Alto Networks, han publicado un perfil de una nueva campaña de malware que se dirige a los clústeres de Kubernetes y se puede utilizar con fines de cryptojacking.

"Cryptojacking" es un término de la industria para los ataques sigilosos de minería de criptomonedas que funcionan mediante la instalación de malware que utiliza el poder de procesamiento de una computadora para minar criptomonedas, con frecuencia Monero (XMR), sin el consentimiento o conocimiento del usuario.

Un clúster de Kubernetes es un conjunto de nodos que se utilizan para ejecutar aplicaciones en contenedores en varias máquinas y entornos, ya sean virtuales, físicos o basados ​​en la nube. Según el equipo de la Unidad 42, los atacantes detrás del nuevo malware obtuvieron acceso inicialmente a través de un Kubelet mal configurado, el nombre del agente de nodo principal que se ejecuta en cada nodo del clúster, que permitió el acceso anónimo. Una vez que el clúster de Kubelet se vio comprometido, el malware tenía como objetivo propagarse a través de la mayor cantidad posible de contenedores y, finalmente, lanzar una campaña de cryptojacking.

Unit 42 le ha dado el sobrenombre de "Hildegard" al nuevo malware y cree que TeamTNT es el actor de amenazas detrás de él, un grupo que ha realizado previamente una campaña para robar las credenciales de Amazon Web Services y difundir una aplicación de minería sigilosa de Monero a millones de direcciones IP utilizando una botnet de malware.

Los investigadores señalan que la nueva campaña utiliza herramientas y dominios similares a los de las operaciones anteriores de TeamTNT, pero que el nuevo malware tiene capacidades innovadoras que lo hacen "más sigiloso y persistente". Hildegard, en su resumen técnico:

"Utiliza dos formas de establecer conexiones de comando y control (C2): un shell inverso tmate y un canal de Internet Relay Chat (IRC); utiliza un nombre de proceso Linux conocido (bioset) para disfrazar el proceso malicioso; utiliza una técnica de inyección de biblioteca basada en LD_PRELOAD para ocultar los procesos maliciosos; encripta la carga útil maliciosa dentro de un binario para dificultar el análisis estático automatizado".

En términos de cronología, la Unidad 42 indica que el dominio C2 borg[.]wtf se registró el 24 de diciembre del año pasado, y el servidor IRC se conectó posteriormente el 9 de enero. Se han actualizado con frecuencia varios scripts maliciosos, y la campaña tiene un poder de hash de ~ 25.05 KH/s. A partir del 3 de febrero, la Unidad 42 descubrió que se almacenaron 11 XMR (aproximadamente USD 1,500) en la billetera asociada.

Sin embargo, desde la detección inicial del equipo, la campaña ha estado inactiva, lo que llevó a la Unidad 42 a aventurar que "la campaña de amenazas puede estar todavía en la etapa de reconocimiento y preparación". Sin embargo, basándose en un análisis de las capacidades del malware y los entornos de destino, el equipo anticipa que se avecina un ataque a mayor escala, con consecuencias potencialmente de mayor alcance:

"El malware puede aprovechar los abundantes recursos informáticos en los entornos de Kubernetes para el cryptojacking y potencialmente exfiltrar datos confidenciales de decenas a miles de aplicaciones que se ejecutan en los clústeres".

Debido al hecho de que un clúster de Kubernetes normalmente contiene más de un host, y que cada host a su vez puede ejecutar múltiples contenedores, la Unidad 42 destaca que un clúster de Kubernetes secuestrado puede resultar en una campaña de cryptojacking de malware particularmente lucrativa. Para las víctimas, el secuestro de los recursos de su sistema por una campaña de este tipo puede causar una interrupción significativa.

Ya ricos en funciones y más sofisticados que los esfuerzos anteriores de TeamTNT, los investigadores aconsejan a los clientes que utilicen una estrategia de seguridad en la nube que alertará a los usuarios sobre una configuración de Kubernetes insuficiente para mantenerse protegidos contra la amenaza emergente.

Sigue leyendo: