Siber güvenlik araştırmacıları, Dero kripto para birimi madenciliği yapmak için yanlış yapılandırılmış Kubernetes kümelerini hedef alan, devam eden bir cryptojacking kampanyası konusunda uyardı.
Etkinliğe ışık tutan bulut güvenlik firması Wiz, bunun ilk kez Mart 2023’te CrowdStrike tarafından belgelenen, finansal amaçlı bir operasyonun güncellenmiş bir versiyonu olduğunu söyledi.
Wiz araştırmacıları Avigayil Mechtinger, Shay Berkovich ve Gili Tikochinski, “Bu olayda, tehdit aktörü, Docker Hub’da barındırılan, bazıları 10.000’den fazla çekime sahip olan kötü amaçlı konteyner görüntülerini başlatmak için İnternet’e bakan bir kümeye anonim erişimi kötüye kullandı.” dedi. “Bu liman işçisi görüntüleri ‘pause’ adında UPX dolu bir DERO madencisi içeriyor.”
İlk erişim, madenci yüklerini sağlamak için anonim kimlik doğrulamanın etkinleştirildiği, dışarıdan erişilebilen Kubernetes API sunucularının hedeflenmesiyle gerçekleştirilir.
“Proxy-api” adlı Kubernetes DaemonSet’i dağıtan 2023 sürümünden farklı olarak, en son sürüm, madenciyi sonuçta kümenin tüm düğümlerinde çalıştırmak için “k8s-device-plugin” ve “pytorch-container” adı verilen görünüşte iyi huylu DaemonSet’leri kullanır .
Ek olarak, konteynere “duraklatma” adının verilmesinin ardındaki fikir, bir bölmeyi önyüklemek ve ağ izolasyonunu uygulamak için kullanılan gerçek “duraklatma” konteyneri olarak gösterme girişimidir.
Kripto para madencisi, Go’da yazılmış, cüzdan adresini ve özel Dero madencilik havuzu URL’lerini sabit kodlayacak şekilde değiştirilmiş açık kaynaklı bir ikili dosyadır. Ayrıca analize direnmek için açık kaynaklı UPX paketleyici kullanılarak karartılmıştır.
Ana fikir, madencilik yapılandırmasını kodun içine yerleştirerek, madencinin genellikle güvenlik mekanizmaları tarafından izlenen herhangi bir komut satırı argümanı olmadan çalıştırılmasını mümkün kılmaktır.
Wiz, tehdit aktörü tarafından geliştirilen, UPX dolu bir Dero madencisinin Windows örneğinin yanı sıra virüslü bir ana bilgisayardaki rakip madenci işlemlerini sonlandırmak ve GMiner’ı GitHub’dan çıkarmak için tasarlanmış bir damlalık kabuk komut dosyası da dahil olmak üzere ek araçlar tespit ettiğini söyledi.
“[The attacker] Araştırmacılar, şüphe uyandırmayı önlemek ve meşru web trafiğine daha iyi uyum sağlamak ve aynı zamanda iyi bilinen madencilik havuzlarıyla iletişimi maskelemek için masum görünen adlara sahip kayıtlı alan adlarını kullandılar.” dedi.
“Bu birleşik taktikler, saldırganın kendi yöntemlerini uyarlama ve savunmacılardan bir adım önde olma yönünde devam eden çabalarını gösteriyor.”