Исследователи кибербезопасности предупредили о продолжающейся кампании криптоджекинга, нацеленной на неправильно настроенные кластеры Kubernetes для майнинга криптовалюты Dero.
Компания по облачной безопасности Wiz, которая пролила свет на эту деятельность, заявила, что это обновленный вариант финансово мотивированной операции, которая была впервые задокументирована CrowdStrike в марте 2023 года.
"В этом инциденте злоумышленник злоупотребил анонимным доступом к кластеру, подключенному к Интернету, для запуска вредоносных изображений контейнеров, размещенных в Docker Hub, некоторые из которых имеют более 10 000 извлечений", - сказали исследователи Wiz Авигаил Мечтингер, Шей Беркович и Гили Тикочински. "Эти образы docker содержат DERO-майнер с улучшенной загрузкой по имени pause".
Первоначальный доступ осуществляется путем нацеливания на доступные извне серверы Kubernetes API с включенной анонимной аутентификацией для доставки полезных данных майнера.
В отличие от версии 2023 года, в которой был развернут набор демонов Kubernetes под названием "proxy-api", в последней версии используются, казалось бы, безвредные наборы демонов под названием "k8s-device-plugin" и "pytorch-container" для окончательного запуска майнера на всех узлах кластера.
Кроме того, идея, стоящая за названием контейнера "pause", - это попытка выдать его за фактический контейнер "pause", который используется для начальной загрузки модуля pod и обеспечения сетевой изоляции.
Майнер криптовалют представляет собой двоичный файл с открытым исходным кодом, написанный на Go, который был изменен для жесткого кодирования адреса кошелька и пользовательских URL-адресов пула майнинга Dero. Она также запутана с использованием UPX packer с открытым исходным кодом, чтобы не поддаваться анализу.
Основная идея заключается в том, что встраивание конфигурации майнинга в код делает возможным запуск майнера без каких-либо аргументов командной строки, которые обычно отслеживаются механизмами безопасности.
Wiz заявила, что выявила дополнительные инструменты, разработанные участником угрозы, в том числе образец Windows с UPX-майнером Dero miner, а также скрипт оболочки dropper, предназначенный для завершения конкурирующих процессов майнера на зараженном хосте и удаления GMiner с GitHub.
"[Злоумышленник] зарегистрировал домены с невинно выглядящими именами, чтобы не вызывать подозрений и лучше сочетаться с законным веб-трафиком, одновременно маскируя связь с известными пулами майнинга", - сказали исследователи.
"Эта комбинированная тактика демонстрирует постоянные усилия злоумышленника адаптировать свои методы и оставаться на шаг впереди защитников".
