Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

Киберпреступники воруют вычислительные мощности Kubernetes для майнинга криптовалюты Dero

13/06/24

images (73)

Исследователи в области кибербезопасности предупредили о новой кампании по криптоджекингу, нацеленной на некорректно настроенные кластеры Kubernetes для майнинга криптовалюты Dero.

Компания Wiz, занимающаяся облачной безопасностью, сообщила, что это обновлённый вариант финансово мотивированной операции, впервые задокументированной CrowdStrike в марте 2023 года, пишет Securitylab.

«В данном инциденте злоумышленник использовал анонимный доступ к кластеру, подключенному к интернету, чтобы запускать вредоносные контейнерные образы, размещённые на Docker Hub, некоторые из которых были загружены более 10 000 раз», — сообщили исследователи Wiz. «Эти образы содержат упакованный с помощью UPX майнер DERO под названием "pause"».

Первичный доступ осуществляется через внешне доступные серверы API Kubernetes с включенной анонимной аутентификацией для доставки полезной нагрузки майнера.

В отличие от версии 2023 года, которая использовала DaemonSet под названием «proxy-api», новая версия использует, на первый взгляд, безобидные DaemonSet под названиями «k8s-device-plugin» и «pytorch-container» для запуска майнера на всех узлах кластера.

Идея названия контейнера «pause» заключается в попытке выдать его за настоящий контейнер «pause», который используется для начальной настройки пода и обеспечения сетевой изоляции.

Майнер криптовалюты представляет собой бинарный файл с открытым исходным кодом, написанный на Go, который был модифицирован для жёсткого кодирования адреса кошелька и URL-адресов пользовательских пулов майнинга Dero. Он также скрыт с помощью пакера UPX, чтобы усложнить анализ.

Главное преимущество встраивания конфигурации майнинга в код заключается в возможности запуска майнера без каких-либо аргументов командной строки, которые обычно контролируются механизмами безопасности.

Wiz также выявила дополнительные инструменты, разработанные злоумышленником, включая Windows-образец упакованного с помощью UPX майнера Dero, а также скрипт-дроппер, предназначенный для завершения процессов конкурирующих майнеров на заражённом хосте и установки GMiner с GitHub.

«Злоумышленник зарегистрировал домены с невинными названиями, чтобы избежать подозрений и лучше вписаться в легитимный веб-трафик, одновременно маскируя коммуникацию с известными пулами майнинга», — отметили исследователи.

«Эти комбинированные тактики демонстрируют стремление злоумышленника адаптировать свои методы и опережать защитные механизмы».

Темы:майнингкриптовалютыУгрозыKubernetesWiz
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...