TeamTNT蠕虫程式再进化，在Kubernetes丛集间感染、挖矿

安全厂商发现一只去年开始在云端活跃的恶意程式TeamTNT，近日又瞄准Kubernetes丛集，企图在丛集间扩散且挖矿获利。

TeamTNT蠕虫从去年5月首先被趋势科技发现感染Docker以建立分散式阻断服务攻击（DDoS）僵尸网络，部署恶意容器映像档，植入恶意挖矿程式。之后Cado Security发现它已经开始感染Kubernetes，且会窃取AWS凭证。

而今年一月Palo Alto旗下Unit 42安全研究人员又发现TeamTNT新一波活动，这次是感染到了Kubernetes丛集。在这波活动中，攻击者是经由组态不良的允许匿名存取的kubelet进入Kubernetes。一旦取得据点，TeamTNT就会试图尽可能蔓延到其他容器，最后发动挖矿劫持。他们以恶意程式使用的tmate账号名将这新版TeamTNT称之为Hildegard。

研究人员指出，Hildegard被赋予新功能使其更神秘、更难被侦测到。它会以tmate reverse shell及IRC（Internet Relay Chat）和C&C服务器建立连线，然后以已知的Linux行程名称（bioset）自我掩饰，并根据LD_PRELOAD环境变数使用函式库注入手法隐藏恶意行程。它还会加密二进制程式中的恶意酬载（payload），提高自动化静态分析工具的侦测难度。

Hildegard的程式码及基础架构现在还不完整，例如其C&C网域是去年12月24日才注册，IRC服务器1月9日才上线，而一些恶意script还经常更新，因此研究人员相信它还在开发中。在这段期间，Hildegard已经具备25.05 KH/s的算力，其电子钱包中已有11 XMR（约1,500美元）。

目前研究人员还未观察到Hildegard有任何活动，表示它还在侦察与武装化（weaponization）的阶段。但他们相信Hildegard背后的组织很快就会发动大规模的攻击，可能运用Kubernetes充足的运算资源挖矿、甚至从丛集中数以万计的应用程序中窃取敏感资料。