Исследовательское подразделение Paolo Alto Networks обнаруживало развертывание нового вредоносного ПО для скрытого майнинга Monero, которое распространяется в контейнерных приложениях на базе Kubernetes.
По словам команды Unit 42, злоумышленники уже начали заражать узлы сервисов, маскируя процессы под именем Linux (bioset), внедряя библиотеки на основе LD_PRELOAD и шифруя данные внутри двоичного файла.
Скрипты для криптоджекинга Hildegard распространяются с первой половины января, но до сих пор были практически неактивны. Поэтому исследователи предполагают, что кампания хакеров находится на стадии разведки и развертывания.
Готовящаяся атака может иметь серьезные последствия, поскольку вредоносная программа способна не только использовать вычислительные ресурсы в средах Kubernetes, но и потенциально извлекать конфиденциальные данные из тысяч приложений в кластерах.
Unit 42 считает, что за разработкой новых скриптов стоит группа хакеров TeamTNT, ответственная за ботнет для скрытого майнинга Monero, заразивший миллионы IP-адресов, и запуск червя для кражи информации об учетных записях Amazon Web Services.
Осенью также MSI предупредил владельцев цифровых активов, что их средства в криптокошельках могут подвергаться опасности из-за нового вируса Anubis .
Для развития канала нам важна ваша поддержка, подписывайтесь на канал и ставьте лайки.