Palo Alto Networksは2月3日(米国時間)、「Hildegard: New TeamTNT Malware Targeting Kubernetes」において、Kubernetesクラスタを標的とした新たなマルウェアキャンペーンを検出したと伝えた。攻撃手法を加味すると、この攻撃はTeamTNTと呼ばれるサイバー犯罪グループによるものだろうと指摘している。同社は今回発見されたマルウェアを、マルウェアが用いていたtmateアカウント名にちなんで「Hildegard」と呼んでいる。
攻撃者は誤って匿名アクセスを許可するように設定してしまっているkubeletを経由して初期アクセスを取得。Kubernetesクラスタへのアクセスを得ると、そのあとは可能な限り多くのコンテナへ感染を試み、最終的にクリプトジャックオペレーションを開始するという。
ただし、Hildegardマルウェアはまだ開発段階あるとPalo Alto Networksは指摘している。コードベースやインフラストラクチャが不完全に見えるほか、インフラストラクチャも1カ月しかオンラインになっていないという。初期の検出以降は活動も確認されておらず、このマルウェアが偵察および兵器化の段階にある可能性が示されている。
Palo Alto Networksは、Hildegardについて「これまでに確認されている脅威の中でも高機能で複雑な攻撃を行うものの1つ」と指摘。高いステルス性と永続性を備え、Kubernetesクラスタを攻撃して収益化も期待できることから、今後の活動に警戒する必要がある。Palo Alto Networksは、近いうちに攻撃者がHildegardを成熟させて大規模な攻勢をかける危険性があるとして、注意を呼びかけている。