Использование контейнера с легитимным названием многократно повысило скрытность преступников.
Исследователи в области кибербезопасности предупредили о новой кампании по криптоджекингу, нацеленной на некорректно настроенные кластеры Kubernetes для майнинга криптовалюты Dero.
Компания Wiz, занимающаяся облачной безопасностью, сообщила, что это обновлённый вариант финансово мотивированной операции, впервые задокументированной CrowdStrike в марте 2023 года.
«В данном инциденте злоумышленник использовал анонимный доступ к кластеру, подключенному к интернету, чтобы запускать вредоносные контейнерные образы, размещённые на Docker Hub, некоторые из которых были загружены более 10 000 раз», — сообщили исследователи Wiz. «Эти образы содержат упакованный с помощью UPX майнер DERO под названием "pause"».
Первичный доступ осуществляется через внешне доступные серверы API Kubernetes с включенной анонимной аутентификацией для доставки полезной нагрузки майнера.
В отличие от версии 2023 года, которая использовала DaemonSet под названием «proxy-api», новая версия использует, на первый взгляд, безобидные DaemonSet под названиями «k8s-device-plugin» и «pytorch-container» для запуска майнера на всех узлах кластера.
Идея названия контейнера «pause» заключается в попытке выдать его за настоящий контейнер «pause», который используется для начальной настройки пода и обеспечения сетевой изоляции.
Майнер криптовалюты представляет собой бинарный файл с открытым исходным кодом, написанный на Go, который был модифицирован для жёсткого кодирования адреса кошелька и URL-адресов пользовательских пулов майнинга Dero. Он также скрыт с помощью пакера UPX, чтобы усложнить анализ.
Главное преимущество встраивания конфигурации майнинга в код заключается в возможности запуска майнера без каких-либо аргументов командной строки, которые обычно контролируются механизмами безопасности.
Wiz также выявила дополнительные инструменты, разработанные злоумышленником, включая Windows-образец упакованного с помощью UPX майнера Dero, а также скрипт-дроппер, предназначенный для завершения процессов конкурирующих майнеров на заражённом хосте и установки GMiner с GitHub.
«Злоумышленник зарегистрировал домены с невинными названиями, чтобы избежать подозрений и лучше вписаться в легитимный веб-трафик, одновременно маскируя коммуникацию с известными пулами майнинга», — отметили исследователи.
«Эти комбинированные тактики демонстрируют стремление злоумышленника адаптировать свои методы и опережать защитные механизмы».
Живой, мертвый или в суперпозиции? Узнайте в нашем канале