Η πρώτη γνωστή επιχείρηση Dero coin cryptojacking βρέθηκε να στοχεύει ευάλωτη υποδομή container Kubernetes με εκτεθειμένα API.
Το Dero είναι ένα νόμισμα που προωθείται ως εναλλακτική του Monero με ακόμη πιο ισχυρή προστασία ανωνυμίας. Σε σύγκριση με το Monero ή άλλα κρυπτονομίσματα, το Dero υπόσχεται ταχύτερες και υψηλότερες χρηματικές ανταμοιβές εξόρυξης, γι’ αυτό πιθανώς έχει τραβήξει την προσοχή των χάκερς.
Σε μια νέα έκθεση του CrowdStrike, οι ερευνητές εξηγούν πώς ανακαλύφθηκε η καμπάνια τον Φεβρουάριο του 2023, ύστερα από διαπίστωση ασυνήθιστης συμπεριφοράς κατά την παρακολούθηση των Kubernetes clusters των πελατών.
Δείτε επίσης: Το malware Kinsing παραβιάζει Kubernetes clusters
Σάρωση Kubernetes
Οι ερευνητές λένε ότι οι επιθέσεις ξεκινούν με τους χάκερς να σαρώνουν εκτεθειμένα, ευάλωτα Kubernetes clusters με έλεγχο ταυτότητας που έχει οριστεί σε –anonymous-auth=true, επιτρέποντας σε οποιονδήποτε ανώνυμη πρόσβαση στο Kubernetes API. Αφού αποκτήσουν πρόσβαση στο API, οι χάκερς θα αναπτύξουν ένα DaemonSet με το όνομα “proxy-api” που επιτρέπει στους εισβολείς να δεσμεύουν τους πόρους όλων των κόμβων στο σύμπλεγμα ταυτόχρονα και να εξορύξουν το Dero χρησιμοποιώντας τους διαθέσιμους πόρους.
Οι εγκατεστημένοι miners θα ενωθούν σε μια Dero mining pool, όπου όλοι συνεισφέρουν και λαμβάνουν μερίδια από τυχόν ανταμοιβές.
Η Crowdstrike λέει ότι το Docker image που χρησιμοποιήθηκε στην παρατηρούμενη καμπάνια Dero cryptojacking φιλοξενήθηκε στο Docker Hub και είναι μια ελαφρώς τροποποιημένη εικόνα CentOS 7 που περιέχει επιπλέον αρχεία με το όνομα “entrypoint.sh” και “pause”. Το πρώτο αρχείο προετοιμάζει το Dero miner με ένα hardcoded wallet addres και μια Dero mining pool, ενώ το δυαδικό “pause” είναι το πραγματικό coin miner.
Οι αναλυτές του Crowdstrike δεν έχουν παρατηρήσει καμία πρόθεση από τους χάκερς να κινηθούν επικίνδυνα και να κλέψουν δεδομένα ή να προκαλέσουν περαιτέρω ζημιά, επομένως η καμπάνια φαίνεται να έχει 100% οικονομικά κίνητρα.
Πρόταση: Η CrowdStrike κυκλοφορεί νέο εργαλείο ασφάλειας Azure μετά από αποτυχημένο hack
Ένας πόλεμος περιοχής
Λίγο αφότου η Crowdstrike ανακάλυψε την καμπάνια Dero, οι αναλυτές της εντόπισαν έναν Monero cryptojacking χειριστή που προσπαθούσε να κλέψει τους ίδιους πόρους, εκδιώκοντας τελικά τον Dero miner.
Ο δεύτερος χάκερ διέγραψε το DaemonSet “proxy-api” που χρησιμοποιούσε η καμπάνια Dero και στη συνέχεια πραγματοποίησε μια πολύ πιο επιθετική κατάληψη, χρησιμοποιώντας ένα προνομιακό pod και τοποθετώντας έναν κατάλογο “host”, προσπαθώντας να ξεφύγει από το container. Στη συνέχεια, χρησιμοποίησε ένα προσαρμοσμένο XMRig miner που κατέβασε από τον διακομιστή εντολών και ελέγχου του εισβολέα για να εξορύξει το Monero κλιμακώνοντας τον host και εγκαθιστώντας μια προσαρμοσμένη υπηρεσία.
Η καμπάνια Monero επέλεξε να εξορύξει στον host αντί για τα pod, όπως έκανε το Dero, για να αποκτήσει πρόσβαση σε περισσότερους υπολογιστικούς πόρους και να αποκομίσει πιο σημαντικό κέρδος. Επίσης, η εκτέλεση διεργασιών εξόρυξης στον host καθιστά πιο δύσκολο τον εντοπισμό τους εάν καλύπτονται σωστά ως υπηρεσίες συστήματος.
Διαβάστε επίσης: Η Crowdstrike αποζημιώνει έως και 1.000.000$ σε περίπτωση data breach
Τέλος, ο χειριστής εγκατέστησε ένα cronjob για να ενεργοποιήσει το ωφέλιμο φορτίο, διασφαλίζοντας έτσι την επιμονή μεταξύ των επανεκκινήσεων του Kubernetes cluster. Ενώ οι καμπάνιες cryptojacking είναι σχεδόν μια ντουζίνα, η εξόρυξη του Dero έναντι άλλων νομισμάτων απορρήτου, όπως το Monero, την κάνει μια νέα καμπάνια.
πηγή πληροφοριών:bleepingcomputer.com
