Cybersicherheitsforscher der Abteilung 42 der Firma Palo Alto Networks haben eine neue Malware-Kampagne entdeckt, die sich auf das Mining der Datenschutz-Kryptowährung Monero konzentriert.
Die neue Malware-Kampagne heißt Hildegard zielt darauf ab, Cluster der Open-Source-Kubernetes-Plattform anzugreifen, um die Rechenleistung der Geräte im Mining zu nutzen Monero (XMR)sind criptomoneda konzentrierte sich auf die Privatsphäre. Das Cybersicherheitsunternehmen, das die Malware entdeckt hat, Palo Alto Networksstellt fest, dass diese neue Malware möglicherweise von der TeamTNT-Bedrohungsgruppe verwendet wird, die dafür bekannt ist, unsichere Docker-Daemons auszunutzen, bösartige Container-Images bereitzustellen und Angriffe auszuführen, um Amazon Web Services-Anmeldeinformationen und mehr zu stehlen.
El berichten Untersuchungen der Palo Alto Networks Unit 42 zeigen, dass es den Angreifern gelang, sich ersten Zugriff über ein falsch konfiguriertes Kubelet zu verschaffen, das anonymen Zugriff auf das Netzwerk ermöglichte und es den Angreifern ermöglichte, sich in einem der Cluster zu etablieren. Nach der Infektion einer davon begann sich die Hildegard-Malware so weit wie möglich im System und auf seinen Computern zu verbreiten und startete schließlich Malware-Operationen. criptojacking, mit dem Ziel, die Rechenleistung jedes der infizierten Kubernetes-Computer zu nutzen, um auf heimliche und illegale Weise Kryptowährungen wie Monero zu schürfen.
Es könnte Sie interessieren: Neues potenzielles Risiko für Ihre Bitcoins, Spanien gehört zu den am stärksten von Malware betroffenen Ländern
Merkmale der neuen Malware
Laut den Forschern von Unit 42 läuft die neue Schadsoftware erst seit einem Monat, und obwohl sie über viele der Tools und Funktionen verfügt, die in früheren Malware-Kampagnen dieser Bedrohungsgruppe zu sehen waren, weist die Hildegard-Schadsoftware auch einige neue Besonderheiten auf, die die Forscher festgestellt haben in früheren Kampagnen noch nicht gesehen hatte.
Cybersicherheitsforscher weisen insbesondere darauf hin, dass die Hildegard-Malware von TeamTNT zwei Möglichkeiten nutzt, um Command-and-Control-Verbindungen (C2) herzustellen: eine über eine tmate-Reverse-Shell und eine andere über einen Internet Relay Chat (IRC)-Kanal, einen textbasierten Real-Channel. Zeitkommunikationsprotokoll, das Sie benutzten vor kurzem haben die Entwickler von Bitcoin um die Aktivierung von Taproot im Netzwerk zu besprechen.
Außerdem nutzt die neue Malware-Kampagne einen bekannten Linux-Prozessnamen (Bioset), um den bösartigen Prozess zu verschleiern und zu verbergen, sodass er heimlicher und beharrlicher agiert. Ebenso betonen die Forscher, dass die Hildegard-Malware eine auf LD_PRELOAD basierende Bibliotheksinjektionstechnik nutzt, die es ihr ermöglicht, bösartige Prozesse zu verbergen, damit sie nicht entdeckt wird. Darüber hinaus verschlüsselt es die bösartige Nutzlast innerhalb einer Binärdatei, um eine automatisierte statische Analyse zu erschweren, sodass sie gegen diese Art von Scans resistent ist.
Andererseits weisen Forscher zusätzlich zu all diesen Merkmalen darauf hin, dass es sich um eine Malware-Kampagne in voller Entwicklung handelt, da ihre Codebasis und Infrastruktur offenbar unvollständig sind.
Illegales Monero (XMR)-Mining
Forscher des Cybersicherheitsunternehmens entdeckten, dass von der Malware-Kampagne aus Kubernetes-Clustern entwendete Computerressourcen dazu verwendet wurden, böswillig und heimlich die Datenschutz-Kryptowährung Monero (XMR) zu schürfen.
Um die Kryptowährung zu schürfen, nutzte die Malware den Miner XMRig, laut ESET, einem weiteren hochangesehenen Cybersicherheitsunternehmen auf dem Markt, einer der attraktivsten Miner für Cyberkriminelle. ESET sorgt dass 73 % der Malware für illegales Mining in Lateinamerika und weltweit XMRig verwendet.
Trotz der kurzen Laufzeit dieser Malware-Kampagne stellten Forscher fest, dass Cyberkriminelle bereits etwa 25,05 KH Rechenleistung speicherten Hash-Rate, mit dem es ihnen gelang, etwa 11 XMR abzubauen, deren Wert zum Zeitpunkt dieser Ausgabe 1.640 US-Dollar betrug.
Weiterlesen: ESET entdeckt eine neue Malware-Familie, die Kryptowährungen schürfen und stehlen kann
