Nueva operación de cryptojacking dirigida a clústeres de Kubernetes para minería

Los investigadores de ciberseguridad han descubierto la primera campaña ilícita de minería de criptomonedas utilizada para acuñar Dero desde principios de febrero de 2023.

"La novedosa operación de cryptojacking de Dero se concentra en localizar clústeres de Kubernetes con acceso anónimo habilitado en una API de Kubernetes y escuchar en puertos no estándar accesibles desde Internet", dijo CrowdStrike en un nuevo informe compartido con The Hacker News.

El desarrollo marca un cambio notable de Monero, que es una criptomoneda frecuente utilizada en tales campañas. Se sospecha que puede tener que ver con el hecho de que Dero "ofrece recompensas más grandes y proporciona las mismas o mejores funciones de anonimato".

Los ataques, atribuidos a un actor desconocido motivado financieramente, comienzan con el escaneo de clústeres de Kubernetes con autenticación establecida como --anonymous-auth=true, que permite que las solicitudes anónimas al servidor eliminen las cargas útiles iniciales de tres direcciones IP diferentes con sede en EE.

Esto incluye la implementación de un DaemonSet de Kubernetes llamado "proxy-api", que, a su vez, se utiliza para colocar un pod malicioso en cada nodo del clúster de Kubernetes para poner en marcha la actividad minera.


Con ese fin, el archivo YAML de DaemonSet está orquestado para ejecutar una imagen de Docker que contiene un binario de "pausa", que en realidad es el minero de monedas Dero.

"En una implementación legítima de Kubernetes, Kubernetes utiliza contenedores de 'pausa' para arrancar un pod", señaló la compañía. "Los atacantes pueden haber usado este nombre para mezclarse y evitar la detección obvia".

La compañía de ciberseguridad dijo que identificó una campaña paralela de minería de Monero también dirigida a clústeres de Kubernetes expuestos al intentar eliminar el DaemonSet "proxy-api" existente asociado con la campaña Dero.

Esta es una indicación de la lucha en curso entre los grupos de cryptojacking que compiten por los recursos de la nube para tomar y retener el control de las máquinas y consumir todos sus recursos.

"Ambas campañas están tratando de encontrar superficies de ataque Kubernetes no descubiertas y están luchando", dijeron los investigadores de amenazas de CrowdStrike Benjamin Grap y Manoj Ahuje.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta