Hildegard: TeamTNT’nin Kubernetes’i Hedef Alan Yeni Kötü Amaçlı Yazılımı

Sürekli olarak geliştirilmiş yeteneklere sahip olan TeamTNT, gizli ve kalıcılık yetenekleri yüksek yeni bir kötü amaçlı yazılım olan Hildegard ‘ı kullanıyor. 

TeamTNT’nin yeni kozu 

Palo Alto Networks araştırmacıları, TeamTNT’nin Hildegard adlı yazılımının Ocak ayında keşif ve silahlanma aşamasında kubernetes sistemlerini hedef aldığını gözlemledi. 

  •    Saldırganlar, kümelerde çalışan on binlerce uygulamadan hassas verilerin gizlice kripto para kazmasını; potansiyel olarak dışarı sızması amacıyla Kubernetes ortamlarına erişmek için kubelet ajanlarını ağırlıklı olarak kullandılar.  
  •    Hildegard kötü amaçlı yazılım, C&C bağlantıları kurmak için tmate ters kabuk ve IRC kanalı; kötü amaçlı işlemi gizlemek için ise bilinen bir Linux işlem adı (bioset) kullanır.
  •    Son olarak, savunma kaçakçılığı için, kötü amaçlı yazılım kütüphane sızmasını kullanarak kötü amaçlı işlemleri gizler; otomatik statik analizi daha zor hale getirmek için bir ikili içindeki kötü amaçlı yükü şifreler.

Son saldırılar 

  •    Geçen ay, grup açık kaynak depolarından kopyalanan libprocesshider adlı bir algılama kaçırma aracı kullanıyordu.
  •    TeamTNT bilgisayar korsanları, Docker API girişlerini AWS kimlik bilgileriyle birlikte genişletmek ve kripto para birimi madencilerini dağıtmak için kötü amaçlı kabuk komut dosyaları kullandılar. 
  •    Başka bir çalışmada, Palo Alto araştırmacıları grubun yeni geliştirilen cephaneliğinde bir Ezuri yükleyici buldular. 
  •    Ayrıca Aralık ayında, tedavi grubu TNTbotinger adlı DDoS özellikli IRC Botu dağıtıyordu. 

TeamTNT, yeteneklerini ve cephaneliğini yeni araçlar ve kötü amaçlı yazılımlarla sürekli olarak genişletiyor. Bir Kubernetes kümesini hedeflemek, kaçırılan bir Docker ana bilgisayarından daha karlı bir fikir gibi. İlk saldırı, yürütme, savunma kaçırma, komuta ve kontrol için daha sofistike taktikler geliştiriliyor. Bu tehdit aktörünün yakın gelecekte daha büyük ölçekli bir saldırı başlatmasına sebep bir durumdur. 

Benzer Haberler İçin Buraya Tıklayın.

Kaynak: https://cyware.com

En son haberler

İlgili haberler