Los investigadores de ciberseguridad han advertido sobre una campaña de criptojacking en curso dirigida a clústeres de Kubernetes mal configurados para extraer la criptomoneda Dero.
La empresa de seguridad en la nube Wiz, que arrojó luz sobre la actividad, dijo que es una variante actualizada de una operación con motivación financiera que fue documentada por primera vez por CrowdStrike en marzo de 2023.
«En este incidente, el actor de amenazas abusó del acceso anónimo a un clúster con acceso a Internet para lanzar imágenes de contenedores maliciosos alojados en Docker Hub, algunos de los cuales tienen más de 10.000 extracciones», afirman los investigadores de Wiz Avigayil Mechtinger, Shay Berkovich y Gili Tikochinski. dicho. «Estas imágenes de la ventana acoplable contienen un minero DERO empaquetado con UPX llamado ‘pausa'».
El acceso inicial se logra dirigiéndose a servidores API de Kubernetes accesibles externamente con autenticación anónima habilitada para entregar las cargas útiles del minero.
A diferencia de la versión 2023 que implementó un DaemonSet de Kubernetes llamado «proxy-api», la última versión utiliza DaemonSets aparentemente benignos llamados «k8s-device-plugin» y «pytorch-container» para, en última instancia, ejecutar el minero en todos los nodos del clúster. .
Además, la idea detrás de denominar al contenedor «pausa» es un intento de hacerse pasar por el contenedor de «pausa» real que se utiliza para iniciar un pod y aplicar el aislamiento de la red.
El minero de criptomonedas es un binario de código abierto escrito en Go que se ha modificado para codificar la dirección de la billetera y las URL personalizadas del grupo de minería Dero. También está ofuscado usando el código abierto. empacador UPX resistirse al análisis.
La idea principal es que al incorporar la configuración de minería dentro del código, es posible ejecutar el minero sin ningún argumento de línea de comandos que normalmente es monitoreado por mecanismos de seguridad.
Wiz dijo que identificó herramientas adicionales desarrolladas por el actor de amenazas, incluida una muestra de Windows de un minero Dero empaquetado con UPX, así como un script de dropper shell diseñado para finalizar procesos mineros competidores en un host infectado y eliminar GMiner de GitHub.
«[The attacker] «Registramos dominios con nombres que parecen inocentes para evitar levantar sospechas y para integrarse mejor con el tráfico web legítimo, mientras enmascaran la comunicación con grupos mineros conocidos», dijeron los investigadores.
«Estas tácticas combinadas demuestran los continuos esfuerzos del atacante por adaptar sus métodos y estar un paso por delante de los defensores».