Um relatório da Trend Micro informa que foram localizados cerca de 50.000 IPs comprometidos pelo grupo ‘TeamTNT’; o grupo organiza uma botnet para cryptojacking, ou seja, mineração oculta e não autorizada de criptomoedas. O comprometimento foi feito em clusters de Kubernetes que de alguma forma foram mal configurados e assim deixados vulneráveis na Internet. A maioria dos nós comprometidos era da China e dos Estados Unidos, havendo inclusive alguns CSPs (provedores de serviços em nuvem). Naturalmente os números refletem a quantidade de clusters em operação nos EUA e na China – bem mais do que em outros países.
O botnet TeamTNT é uma operação de malware de mineração de criptografia que está ativa desde abril de 2020 e que visa instalações do Docker. A atividade do grupo TeamTNT foi detalhada pela Trend Micro, mas em agosto passado especialistas da Cado Security descobriram que esse botnet também é capaz de direcionar instalações do Kubernetes configuradas incorretamente.
Veja isso
Malware rouba credenciais AWS, ataca Docker e Kubernetes
Recursos do Docker Hub e do Bitbucket são ‘roubados’ para minerar criptomoeda
Os pesquisadores da Trend Micro localizaram num servidor utilizado pelo grupo vários scripts utilizados nos ataques e puderam assim analisar o ataque passo a passo. Esses scripts tinham baixa taxa de detecção no VirusTotal. A cadeia de ataque começa com a tentativa de desabilitar o histórico do bash no host de destino e definir variáveis de ambiente para um servidor de comando e controle – incluindo o script para instalar o crypto miner posteriormente e o binário do minerador XMRig Monero.
O grupo TeamTNT também usa o script para instalar duas ferramentas gratuitas de código aberto: a ferramenta de varredura de rede masscan e o obsoleto Zgrab de captura de banners de servidor. O grupo também instala um bot de IRC escrito em C, que fica armazenado na pasta /tmp com o nome de kube.c, na tentativa de evitar suspeitas. dos administradores.
O que é um cluster de Kubernetes (explicação da VMware)
Um cluster de Kubernetes é um conjunto de nós que executa aplicativos em contêineres. Os aplicativos em contêiner empacotam um aplicativo com suas dependências e alguns serviços necessários. Eles são mais leves e flexíveis do que as máquinas virtuais. Dessa forma, os clusters do Kubernetes permitem que os aplicativos sejam desenvolvidos, movidos e gerenciados com mais facilidade. Os clusters do Kubernetes permitem que os contêineres sejam executados em várias máquinas e ambientes: virtual, físico, baseado em nuvem e local. Os contêineres do Kubernetes não estão restritos a um sistema operacional específico, ao contrário das máquinas virtuais. Em vez disso, eles são capazes de compartilhar sistemas operacionais e rodar em qualquer lugar.
Com agências de notícias internacionais