Siber güvenlik araştırmacıları, Şubat 2023’ün başından bu yana Dero’yu basmak için kullanılan ilk yasa dışı kripto para madenciliği kampanyasını keşfettiler.
CrowdStrike, The Hacker News ile paylaştığı yeni bir raporda, “Yeni Dero cryptojacking operasyonu, bir Kubernetes API’sinde anonim erişime sahip Kubernetes kümelerinin yerini belirlemeye ve internetten erişilebilen standart olmayan bağlantı noktalarını dinlemeye odaklanıyor.” dedi.
Gelişme, bu tür kampanyalarda kullanılan yaygın bir kripto para birimi olan Monero’dan kayda değer bir kaymaya işaret ediyor. Dero’nun “daha büyük ödüller sunması ve aynı veya daha iyi anonimleştirme özellikleri sağlaması” gerçeğiyle ilgili olabileceğinden şüpheleniliyor.
Finansal motivasyonu bilinmeyen bir aktöre atfedilen saldırılar, kimlik doğrulaması –anonymous-auth=true olarak ayarlanmış Kubernetes kümelerinin taranmasıyla başlar; bu, sunucuya anonim isteklerin ABD merkezli üç farklı IP adresinden ilk yükleri bırakmasına izin verir.
Bu, “proxy-api” adlı bir Kubernetes DaemonSet’in devreye alınmasını içerir; bu da, madencilik etkinliğini başlatmak için Kubernetes kümesinin her bir düğümüne kötü amaçlı bir bölme bırakmak için kullanılır.
Bu amaçla, DaemonSet’in YAML dosyası, aslında Dero madeni para madencisi olan bir “duraklatma” ikili dosyası içeren bir Docker görüntüsünü çalıştırmak üzere düzenlenir.
Şirket, “Meşru bir Kubernetes dağıtımında, ‘duraklat’ kapsayıcıları Kubernetes tarafından bir bölmeyi önyüklemek için kullanılır” dedi. “Saldırganlar, bariz bir şekilde tespit edilmekten kaçınmak için bu adı kullanmış olabilir.”
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Siber güvenlik şirketi, Dero kampanyasıyla ilişkili mevcut “proxy-api” DaemonSet’i silmeye çalışarak, açığa çıkan Kubernetes kümelerini de hedefleyen paralel bir Monero-madencilik kampanyası belirlediğini söyledi.
Bu, makinelerin kontrolünü ele geçirmek ve elinde tutmak ve tüm kaynaklarını tüketmek için bulut kaynakları için yarışan cryptojacking grupları arasında devam eden mücadelenin bir göstergesidir.
CrowdStrike tehdit araştırmacıları Benjamin Grap ve Manoj Ahuje, “Her iki kampanya da keşfedilmemiş Kubernetes saldırı yüzeylerini bulmaya çalışıyor ve bununla savaşıyor.” Dedi.