Οι ερευνητές στον τομέα της κυβερνοασφάλειας προειδοποιούν για μια εκστρατεία cryptojacking που στοχεύει εσφαλμένα διαμορφωμένα συμπλέγματα Kubernetes για εξόρυξη κρυπτονομίσματος (crypto mining) Dero.
Διαβάστε σχετικά: Επιθέσεις Kubernetes cryptomining σε εφαρμογές OpenMetadata
Η εταιρεία cloud Wiz, που αποκάλυψε την κακόβουλη δραστηριότητα από την cryptojacking εκστρατεία, ανέφερε ότι πρόκειται για μια ενημερωμένη παραλλαγή μιας επιχείρησης με οικονομικά κίνητρα, η οποία καταγράφηκε για πρώτη φορά από την CrowdStrike τον Μάρτιο του 2023.
«Σε αυτό το περιστατικό, ο φορέας απειλής εκμεταλλεύτηκε την ανώνυμη πρόσβαση σε ένα σύμπλεγμα με πρόσβαση στο διαδίκτυο, για να εκτοξεύσει κακόβουλες εικόνες container από το Docker Hub, μερικές από τις οποίες έχουν περισσότερα από 10.000 λήψεις», δήλωσαν οι ερευνητές του Wiz, Avigayil Mechtinger, Shay Berkovich και Gili Tikochinski. «Αυτές οι εικόνες κοντέινερ περιέχουν έναν εξορυκτήρα DERO κρυπτογραφημένο με UPX, ο οποίος ονομάζεται “pause”».
Δείτε επίσης: Ευπάθεια στο Kubernetes επιτρέπει την απομακρυσμένη εκτέλεση κώδικα σε Windows
Η αρχική πρόσβαση επιτυγχάνεται στοχεύοντας εξωτερικά προσβάσιμους servers Kubernetes API με ενεργοποιημένη την ανώνυμη πιστοποίηση, για την παράδοση των ωφέλιμων φορτίων εξόρυξης.
Σε αντίθεση με την έκδοση του 2023 που ανέπτυξε ένα Kubernetes DaemonSet με το όνομα “proxy-api”, η τελευταία γεύση χρησιμοποιεί φαινομενικά μη επιβλαβή DaemonSets που ονομάζονται “k8s-device-plugin” και “pytorch-container” για να τρέξει τελικά το miner σε όλους τους κόμβους του συμπλέγματος.
Επιπλέον, η ονομασία του container “pause” αποσκοπεί στο να το παρουσιάσει ως το πραγματικό container “pause” που χρησιμοποιείται για την εκκίνηση ενός pod και την επιβολή απομόνωσης δικτύου. Το cryptocurrency miner είναι ένα open-source δυαδικό αρχείο γραμμένο σε Go, τροποποιημένο για να κωδικοποιεί τη διεύθυνση του πορτοφολιού και τις προσαρμοσμένες διευθύνσεις URL της ομάδας εξόρυξης Dero. Επιπλέον, είναι ασαφές χρησιμοποιώντας το πρόγραμμα UPX ανοιχτού κώδικα για να αντισταθεί στην ανάλυση.
Διαβάστε ακόμη: Το Commando Cat Cryptojacking στοχεύει Docker Instances
Η κύρια ιδέα είναι ότι με την ενσωμάτωση της διαμόρφωσης εξόρυξης στον κώδικα, γίνεται δυνατή η εκτέλεση του miner χωρίς τα συνήθη επιχειρήματα γραμμής εντολών που παρακολουθούνται από μηχανισμούς ασφαλείας. Η Wiz ανέφερε ότι εντόπισε πρόσθετα εργαλεία που αναπτύχθηκαν από τον παράγοντα απειλών, συμπεριλαμβανομένου ενός δείγματος Windows ενός Dero miner γεμάτου UPX, καθώς και ενός shell script dropper σχεδιασμένου να τερματίζει ανταγωνιστικές διαδικασίες εξόρυξης σε μολυσμένο κεντρικό υπολογιστή και να απορρίπτει το GMiner από το GitHub.
«Ο χάκερ χρησιμοποίησε τέτοιου είδους domains, ώστε να αποφύγει υποψίες και να συνδυάσει καλύτερα τη νόμιμη διαδικτυακή κίνηση, ενώ συγκαλύπτει την επικοινωνία με γνωστές mining δεξαμενές», ανέφεραν οι ερευνητές. «Οι τακτικές αυτές υποδεικνύουν τις συνεχιζόμενες προσπάθειες του εκάστοτε χάκερ να προσαρμόσει τις μεθόδους του και να παραμείνει ένα βήμα μπροστά από τα θύματα».
Δείτε περισσότερα: Συνελήφθη Crypto miner για cryptojacking μέσω cloud διακομιστών
Πηγή: thehackernews
 Dero.){kind=link}