Investigadores de ciberseguridad han alertado sobre una campaña de criptoacaparamiento en curso dirigida a clusters de Kubernetes mal configurados para extraer la criptomoneda Dero.
La firma de seguridad en la nube Wiz, que descubrió la actividad, informó que se trata de una variante actualizada de una operación con motivación financiera documentada por primera vez por CrowdStrike en marzo de 2023.
Los investigadores de Wiz Avigayil Mechtinger, Shay Berkovich y Gili Tikochinski explicaron que el actor de amenazas explotó el acceso anónimo a un cluster en Internet para lanzar imágenes de contenedores maliciosos alojados en Docker Hub, algunas con más de 10,000 descargas. Dichas imágenes de Docker contienen un minero DERO empaquetado con UPX llamado ‘pause’.
El acceso inicial se logra atacando servidores de API de Kubernetes accesibles desde el exterior con autenticación anónima habilitada para entregar las cargas útiles del minero.
En contraste con la versión de 2023 que desplegó un DaemonSet de Kubernetes llamado «proxy-api», la versión más reciente utiliza DaemonSets aparentemente benignos llamados «k8s-device-plugin» y «pytorch-container» para finalmente ejecutar el minero en todos los nodos del cluster.
Además, el contenedor «pause» tiene la intención de hacerse pasar como el contenedor «pause» legítimo utilizado para inicializar un pod y aplicar el aislamiento de red.
El minero de criptomonedas es un binario de código abierto escrito en Go que ha sido modificado para ocultar de forma permanente la dirección del monedero y las URL personalizadas de la piscina de minería de Dero. También está ofuscado utilizando el empaquetador UPX de código abierto para resistir el análisis.
La configuración de minería está incrustada en el código para permitir la ejecución del minero sin ningún argumento de línea de comandos que normalmente son monitoreados por los mecanismos de seguridad.
Wiz identificó herramientas adicionales desarrolladas por el actor de amenazas, incluido un ejemplo de Windows de un minero Dero empaquetado con UPX, así como un script de shell de distribución diseñado para finalizar los procesos de minería competidores en un host infectado y descargar GMiner desde GitHub.
Los investigadores mencionaron que el atacante registró dominios con nombres inocentes para evitar sospechas y para mezclarse mejor con el tráfico web legítimo, al tiempo que enmascara la comunicación con piscinas de minería conocidas.
Estas tácticas combinadas muestran los continuos esfuerzos del atacante para adaptar sus métodos y mantenerse un paso adelante de los defensores.
Vía The Hacker News
