Kubernetes comprometidos em quase 50.000 IPs

De março a maio, a Trend Micro encontrou o TeamTNT comprometendo clusters de Kubernetes em todos esses endereços
Da Redação
27/05/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um relatório da Trend Micro informa que foram localizados cerca de 50.000 IPs comprometidos pelo grupo ‘TeamTNT’; o grupo organiza uma botnet para cryptojacking, ou seja, mineração oculta e não autorizada de criptomoedas. O comprometimento foi feito em clusters de Kubernetes que de alguma forma foram mal configurados e assim deixados vulneráveis na Internet. A maioria dos nós comprometidos era da China e dos Estados Unidos, havendo inclusive alguns CSPs (provedores de serviços em nuvem). Naturalmente os números refletem a quantidade de clusters em operação nos EUA e na China – bem mais do que em outros países.

O botnet TeamTNT é uma operação de malware de mineração de criptografia que está ativa desde abril de 2020 e que visa instalações do Docker. A atividade do grupo TeamTNT foi detalhada pela Trend Micro, mas em agosto passado especialistas da Cado Security descobriram que esse botnet também é capaz de direcionar instalações do Kubernetes configuradas incorretamente.

Veja isso
Malware rouba credenciais AWS, ataca Docker e Kubernetes
Recursos do Docker Hub e do Bitbucket são ‘roubados’ para minerar criptomoeda

Os pesquisadores da Trend Micro localizaram num servidor utilizado pelo grupo vários scripts utilizados nos ataques e puderam assim analisar o ataque passo a passo. Esses scripts tinham baixa taxa de detecção no VirusTotal. A cadeia de ataque começa com a tentativa de desabilitar o histórico do bash no host de destino e definir variáveis ​​de ambiente para um servidor de comando e controle – incluindo o script para instalar o crypto miner posteriormente e o binário do minerador XMRig Monero.

O grupo TeamTNT também usa o script para instalar duas ferramentas gratuitas de código aberto: a ferramenta de varredura de rede masscan e o obsoleto Zgrab de captura de banners de servidor. O grupo também instala um bot de IRC escrito em C, que fica armazenado na pasta /tmp com o nome de kube.c, na tentativa de evitar suspeitas. dos administradores.

O que é um cluster de Kubernetes (explicação da VMware)

Um cluster de Kubernetes é um conjunto de nós que executa aplicativos em contêineres. Os aplicativos em contêiner empacotam um aplicativo com suas dependências e alguns serviços necessários. Eles são mais leves e flexíveis do que as máquinas virtuais. Dessa forma, os clusters do Kubernetes permitem que os aplicativos sejam desenvolvidos, movidos e gerenciados com mais facilidade. Os clusters do Kubernetes permitem que os contêineres sejam executados em várias máquinas e ambientes: virtual, físico, baseado em nuvem e local. Os contêineres do Kubernetes não estão restritos a um sistema operacional específico, ao contrário das máquinas virtuais. Em vez disso, eles são capazes de compartilhar sistemas operacionais e rodar em qualquer lugar.

Com agências de notícias internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest