Les chercheurs en cybersécurité de l'unité 42 de la société Palo Alto Networks ont découvert une nouvelle campagne de malware axée sur l'exploitation de la crypto-monnaie confidentielle Monero.
La nouvelle campagne de malware appelée Hildegarde vise à attaquer les clusters de la plateforme open source Kubernetes, pour utiliser la puissance de traitement informatique des équipements de minage Monero (XMR), la criptomoneda axé sur la vie privée. La société de cybersécurité qui a découvert le malware, Palo Alto Networks, note que ce nouveau malware pourrait être utilisé par le groupe de menaces TeamTNT, connu pour exploiter des démons Docker non sécurisés, déployer des images de conteneurs malveillantes et exécuter des attaques pour voler les informations d'identification d'Amazon Web Services, etc.
El signaler Les recherches de l'unité 42 de Palo Alto Networks démontrent que les attaquants ont réussi à obtenir un accès initial via un kubelet mal configuré, ce qui a permis un accès anonyme au réseau, permettant aux attaquants de s'établir au sein de l'un des clusters. Après avoir infecté l'un d'entre eux, le malware Hildegard a commencé à se propager aussi largement que possible dans le système et ses ordinateurs, lançant finalement des opérations malveillantes. criptojacking, dans le but d'utiliser la puissance de calcul de chacun des ordinateurs Kubernetes infectés pour extraire des crypto-monnaies, comme Monero, de manière furtive et illégale.
Il peut vous intéresser: Nouveau risque potentiel pour vos bitcoins, l'Espagne parmi les pays les plus touchés par les malwares
Caractéristiques du nouveau malware
Le nouveau malware fonctionne depuis seulement un mois, selon les chercheurs de l'Unité 42, et bien qu'il possède de nombreux outils et fonctionnalités vus dans les précédentes campagnes de malware menées par ce groupe de menaces, le malware Hildegard présente également de nouvelles particularités que les chercheurs ont remarquées. n'avait pas vu lors des campagnes précédentes.
En particulier, les chercheurs en cybersécurité notent que le malware Hildegard de TeamTNT utilise deux manières d'établir des connexions de commande et de contrôle (C2) : une via un shell inversé tmate et une autre via un canal Internet Relay Chat (IRC), un canal réel basé sur du texte. protocole de communication temporelle qui utilisé récemment, les développeurs de Bitcoin pour discuter de l'activation de Taproot sur le réseau.
En outre, la nouvelle campagne de malware utilise un nom de processus Linux connu (bioset) pour dissimuler et masquer le processus malveillant, afin qu'il agisse de manière plus furtive et persistante. De même, les chercheurs soulignent que le malware Hildegard utilise une technique d'injection de bibliothèque basée sur LD_PRELOAD, qui lui permet de masquer les processus malveillants afin de ne pas être découvert. De plus, il crypte la charge utile malveillante dans un binaire pour rendre difficile l’analyse statique automatisée, ce qui lui permet d’être résistant à ce type d’analyse.
En revanche, outre toutes ces caractéristiques, les chercheurs soulignent qu'il s'agit d'une campagne de malware en plein développement, puisque sa base de code et son infrastructure sont apparemment incomplètes.
Extraction illégale de Monero (XMR)
Les chercheurs de la société de cybersécurité ont découvert que les ressources informatiques détournées des clusters Kubernetes par la campagne de logiciels malveillants étaient utilisées pour exploiter de manière malveillante et secrète la crypto-monnaie de confidentialité Monero (XMR).
Pour miner la cryptomonnaie, le malware utilisait le mineur XMRig, l'un des mineurs les plus attractifs pour les cybercriminels selon ESET, une autre société de cybersécurité hautement reconnue sur le marché. ESET assure que 73% des malwares dédiés au minage illégal, en Amérique latine et dans le monde, utilisent XMRig.
Malgré la courte durée de cette campagne de malware, les chercheurs ont découvert que les cybercriminels stockaient déjà environ 25,05 KH de puissance de calcul ou taux de hachage, avec lequel ils ont réussi à extraire environ 11 XMR, évalués au moment de cette édition à 1.640 XNUMX $.
Continuer la lecture: ESET découvre une nouvelle famille de malwares capables d'exploiter et de voler des crypto-monnaies
