
Se ha descubierto una nueva campaña de cryptojacking dirigida a infraestructuras vulnerables de Docker y Kubernetes como parte de ataques oportunistas diseñados para extraer criptomonedas de forma ilícita.
La empresa de ciberseguridad CrowdStrike apodó la actividad besar a un perrocon su infraestructura de comando y control que se superpone con los asociados con otros grupos como TeamTNT, que se sabe que atacan mal configurado Instancias de Docker y Kubernetes.
Las intrusiones, detectadas en septiembre de 2022, obtienen su nombre de un dominio llamado “kiss.a-dog[.]top” que se usa para activar una carga útil de script de shell en el contenedor comprometido mediante un comando de Python codificado en Base64.
“La URL utilizada en la carga útil se oscurece con barras invertidas para evitar la decodificación automática y la coincidencia de expresiones regulares para recuperar el dominio malicioso”, dijo Manoj Ahuje, investigador de CrowdStrike. dijo en un análisis técnico.
Posteriormente, la cadena de ataque intenta escapar del contenedor y moverse lateralmente hacia la red violada, al mismo tiempo que toma medidas para terminar y eliminar los servicios de monitoreo en la nube.

Como métodos adicionales para evadir la detección, la campaña hace uso de la diamorfina y libprocesoocultar rootkits para ocultar procesos maliciosos del usuario, el último de los cuales se compila como una biblioteca compartida y su sendero se establece como el valor de la LD_PRECARGA Variable ambiental.
“Esto permite a los atacantes inyectar bibliotecas compartidas maliciosas en cada proceso generado en un contenedor comprometido”, dijo Ahuje.
El objetivo final de la campaña es extraer criptomonedas de forma sigilosa utilizando el software de minería XMRig, así como instancias de Redis y Docker de puerta trasera para la minería y otros ataques de seguimiento.
“A medida que los precios de las criptomonedas cayeron, estas campañas se amortiguaron en los últimos meses hasta que se lanzaron varias campañas en octubre para aprovechar un entorno de baja competencia”, señaló Ahuje.
Los hallazgos también se producen cuando los investigadores de Sysdig revelaron otra operación sofisticada de criptominería denominada PURPLEURCHIN, que aprovecha el cómputo asignado para cuentas de prueba gratuitas en GitHub, Heroku y Buddy.[.]Funciona para escalar los ataques.
Se dice que se utilizaron hasta 30 cuentas de GitHub, 2,000 cuentas de Heroku y 900 cuentas de Buddy en la campaña automatizada de freejacking.
El ataque implica la creación de una cuenta de GitHub controlada por un actor, cada una de las cuales contiene un repositorio que, a su vez, tiene una acción de GitHub para ejecutar operaciones de minería mediante el lanzamiento de una imagen de Docker Hub.
“El uso de cuentas gratuitas traslada el costo de ejecutar los criptomineros al proveedor de servicios”, dijeron los investigadores. dijo. “Sin embargo, como en muchos casos de uso de fraude, el abuso de las cuentas gratuitas puede afectar a otros. Los gastos más altos para el proveedor generarán precios más altos para sus clientes legítimos”.






