Pesquisadores de segurança cibernética alertaram sobre uma campanha de criptojacking em andamento visando clusters Kubernetes mal configurados para extrair a criptomoeda Dero.
A empresa de segurança em nuvem Wiz, que esclareceu a atividade, disse que é uma variante atualizada de uma operação com motivação financeira que foi documentada pela primeira vez pela CrowdStrike em março de 2023.
“Neste incidente, o agente da ameaça abusou do acesso anônimo a um cluster voltado para a Web para lançar imagens de contêiner maliciosas hospedadas no Docker Hub, algumas das quais têm mais de 10.000 pulls”, disseram os pesquisadores do Wiz Avigayil Mechtinger, Shay Berkovich e Gili Tikochinski. “Essas imagens do docker contêm um minerador DERO compactado com UPX chamado 'pause'.”
O acesso inicial é realizado visando servidores API Kubernetes acessíveis externamente com autenticação anônima habilitada para entregar as cargas úteis do minerador.
Ao contrário da versão 2023 que implantou um DaemonSet do Kubernetes chamado “proxy-api”, a versão mais recente faz uso de DaemonSets aparentemente benignos chamados “k8s-device-plugin” e “pytorch-container” para executar o minerador em todos os nós do cluster .
Além disso, a ideia por trás de nomear o contêiner como “pausa” é uma tentativa de se passar pelo contêiner de “pausa” actual usado para inicializar um pod e impor o isolamento da rede.
O minerador de criptomoedas é um binário de código aberto escrito em Go que foi modificado para codificar o endereço da carteira e URLs personalizados do pool de mineração Dero. Também é ofuscado usando o empacotador UPX de código aberto para resistir à análise.
A ideia principal é que, ao incorporar a configuração de mineração no código, seja possível executar o minerador sem quaisquer argumentos de linha de comando que normalmente são monitorados por mecanismos de segurança.
Wiz disse que identificou ferramentas adicionais desenvolvidas pelo agente da ameaça, incluindo uma amostra do Home windows de um minerador Dero embalado com UPX, bem como um script de shell dropper projetado para encerrar processos de mineradores concorrentes em um host infectado e retirar o GMiner do GitHub.
“(O invasor) registrou domínios com nomes de aparência inocente para evitar levantar suspeitas e se misturar melhor com o tráfego legítimo da net, enquanto mascarava a comunicação com swimming pools de mineração bem conhecidos”, disseram os pesquisadores.
“Essas táticas combinadas demonstram os esforços contínuos do atacante para adaptar seus métodos e ficar um passo à frente dos defensores”.
