Siber güvenlik araştırmacıları, Şubat 2023’ün başından bu yana Dero’yu basmak için kullanılan ilk yasa dışı kripto para madenciliği kampanyasını keşfettiler.
CrowdStrike, “Yeni Dero cryptojacking operasyonu, bir Kubernetes API’sinde anonim erişimin etkin olduğu Kubernetes kümelerinin yerini belirlemeye ve internetten erişilebilen standart olmayan bağlantı noktalarını dinlemeye odaklanıyor.” söz konusu The Hacker News ile paylaşılan yeni bir raporda.
Gelişme, bu tür kampanyalarda kullanılan yaygın bir kripto para birimi olan Monero’dan kayda değer bir kaymaya işaret ediyor. Bunun gerçeğiyle ilgisi olabileceğinden şüpheleniliyor. dero “daha büyük ödüller sunar ve aynı veya daha iyi anonimleştirme özellikleri sağlar.”
Finansal motivasyonu bilinmeyen bir aktöre atfedilen saldırılar, kimlik doğrulaması şu şekilde ayarlanmış Kubernetes kümelerinin taranmasıyla başlar: –anonim-auth=doğrusunucuya anonim isteklerin, ilk yüklerin ABD tabanlı üç farklı IP adresinden bırakılmasına izin verir.
Bu, bir Kubernetes dağıtmayı içerir DaemonSet “proxy-api” olarak adlandırılan bu da, madencilik faaliyetini başlatmak için Kubernetes kümesinin her bir düğümüne kötü amaçlı bir bölme bırakmak için kullanılır.
Bu amaçla, DaemonSet’in YAML dosyası, bir “duraklat” ikili dosyası içeren bir Docker görüntüsünü çalıştırmak üzere düzenlenir; Dero madenci.
Şirket, “Meşru bir Kubernetes dağıtımında, ‘duraklat’ kapsayıcıları Kubernetes tarafından bir bölmeyi önyüklemek için kullanılır” dedi. “Saldırganlar, bariz bir şekilde tespit edilmekten kaçınmak için bu adı kullanmış olabilir.”
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Siber güvenlik şirketi, Dero kampanyasıyla ilişkili mevcut “proxy-api” DaemonSet’i silmeye çalışarak, açığa çıkan Kubernetes kümelerini de hedefleyen paralel bir Monero-madencilik kampanyası belirlediğini söyledi.
Bu, makinelerin kontrolünü ele geçirmek ve elinde tutmak ve tüm kaynaklarını tüketmek için bulut kaynakları için yarışan cryptojacking grupları arasında devam eden mücadelenin bir göstergesidir.
CrowdStrike tehdit araştırmacıları Benjamin Grap ve Manoj Ahuje, “Her iki kampanya da keşfedilmemiş Kubernetes saldırı yüzeylerini bulmaya çalışıyor ve bununla savaşıyor.” Dedi.