12 de junio de 2024Sala de prensaKubernetes / Endpoint Security Los investigadores de ciberseguridad han advertido sobre una campaña de criptojacking en curso dirigida a clústeres de Kubernetes mal configurados para extraer la criptomoneda Dero. La empresa de seguridad en la nube Wiz, que arrojó luz sobre la actividad, dijo que es una variante actualizada de una operación con motivación financiera que fue documentada por primera vez por CrowdStrike en marzo de 2023. «En este incidente, el actor de amenazas abusó del acceso anónimo a un clúster con acceso a Internet para lanzar imágenes de contenedores maliciosos alojados en Docker Hub, algunos de los cuales tienen más de 10.000 extracciones», dijeron los investigadores de Wiz Avigayil Mechtinger, Shay Berkovich y Gili Tikochinski. «Estas imágenes de la ventana acoplable contienen un minero DERO empaquetado con UPX llamado ‘pausa'». El acceso inicial se logra dirigiéndose a servidores API de Kubernetes accesibles externamente con autenticación anónima habilitada para entregar las cargas útiles del minero. A diferencia de la versión 2023 que implementó un DaemonSet de Kubernetes llamado «proxy-api», la última versión utiliza DaemonSets aparentemente benignos llamados «k8s-device-plugin» y «pytorch-container» para, en última instancia, ejecutar el minero en todos los nodos del clúster. . Además, la idea detrás de nombrar el contenedor «pausa» es un intento de hacerse pasar por el contenedor de «pausa» real que se utiliza para iniciar un pod y aplicar el aislamiento de la red. El minero de criptomonedas es un binario de código abierto escrito en Go que se ha modificado para codificar la dirección de la billetera y las URL personalizadas del grupo de minería Dero. También se ofusca utilizando el empaquetador UPX de código abierto para resistir el análisis. La idea principal es que al incorporar la configuración de minería dentro del código, es posible ejecutar el minero sin ningún argumento de línea de comandos que normalmente es monitoreado por mecanismos de seguridad. Wiz dijo que identificó herramientas adicionales desarrolladas por el actor de amenazas, incluida una muestra de Windows de un minero Dero empaquetado con UPX, así como un script de dropper shell diseñado para finalizar procesos mineros competidores en un host infectado y eliminar GMiner de GitHub. «[The attacker] registraron dominios con nombres que parecían inocentes para evitar levantar sospechas y mezclarse mejor con el tráfico web legítimo, al tiempo que enmascaran la comunicación con grupos de minería conocidos», dijeron los investigadores. «Estas tácticas combinadas demuestran los esfuerzos continuos del atacante para adaptar sus métodos y manténgase un paso por delante de los defensores». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.