Dero-джекинг: киберзлодеи воруют вычислительные мощности Kubernetes

Dero-джекинг: киберзлодеи воруют вычислительные мощности Kubernetes

Использование контейнера с легитимным названием многократно повысило скрытность преступников.

image

Исследователи в области кибербезопасности предупредили о новой кампании по криптоджекингу, нацеленной на некорректно настроенные кластеры Kubernetes для майнинга криптовалюты Dero.

Компания Wiz, занимающаяся облачной безопасностью, сообщила, что это обновлённый вариант финансово мотивированной операции, впервые задокументированной CrowdStrike в марте 2023 года.

«В данном инциденте злоумышленник использовал анонимный доступ к кластеру, подключенному к интернету, чтобы запускать вредоносные контейнерные образы, размещённые на Docker Hub, некоторые из которых были загружены более 10 000 раз», — сообщили исследователи Wiz. «Эти образы содержат упакованный с помощью UPX майнер DERO под названием "pause"».

Первичный доступ осуществляется через внешне доступные серверы API Kubernetes с включенной анонимной аутентификацией для доставки полезной нагрузки майнера.

В отличие от версии 2023 года, которая использовала DaemonSet под названием «proxy-api», новая версия использует, на первый взгляд, безобидные DaemonSet под названиями «k8s-device-plugin» и «pytorch-container» для запуска майнера на всех узлах кластера.

Идея названия контейнера «pause» заключается в попытке выдать его за настоящий контейнер «pause», который используется для начальной настройки пода и обеспечения сетевой изоляции.

Майнер криптовалюты представляет собой бинарный файл с открытым исходным кодом, написанный на Go, который был модифицирован для жёсткого кодирования адреса кошелька и URL-адресов пользовательских пулов майнинга Dero. Он также скрыт с помощью пакера UPX, чтобы усложнить анализ.

Главное преимущество встраивания конфигурации майнинга в код заключается в возможности запуска майнера без каких-либо аргументов командной строки, которые обычно контролируются механизмами безопасности.

Wiz также выявила дополнительные инструменты, разработанные злоумышленником, включая Windows-образец упакованного с помощью UPX майнера Dero, а также скрипт-дроппер, предназначенный для завершения процессов конкурирующих майнеров на заражённом хосте и установки GMiner с GitHub.

«Злоумышленник зарегистрировал домены с невинными названиями, чтобы избежать подозрений и лучше вписаться в легитимный веб-трафик, одновременно маскируя коммуникацию с известными пулами майнинга», — отметили исследователи.

«Эти комбинированные тактики демонстрируют стремление злоумышленника адаптировать свои методы и опережать защитные механизмы».

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь