Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/first-known-dero-cryptojacking-operation-seen-targeting-kubernetes/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #primeira #operação #conhecida #de #cryptojacking #dero #vista #visando #o #kubernetes
A primeira operação de criptojacking conhecida que minerou a moeda Dero foi encontrada visando a infraestrutura vulnerável do orquestrador de contêiner Kubernetes com APIs expostas.
Dero é uma moeda de privacidade promovida como uma alternativa ao Monero com proteção de anonimato ainda mais robusta.
Comparado ao Monero ou outras criptomoedas, Dero promete recompensas de mineração monetárias mais rápidas e mais altas, provavelmente por isso que chamou a atenção de agentes de ameaças.
Em um novo relatório da CrowdStrike, os pesquisadores explicam como a campanha em andamento foi descoberta em fevereiro de 2023, depois de encontrar um comportamento incomum ao monitorar os clusters Kubernetes dos clientes.
Verificando o Kubernetes
Os pesquisadores dizem que os ataques começam com os agentes de ameaças verificando clusters Kubernetes vulneráveis e expostos com autenticação definida como --anonymous-auth=true, permitindo que qualquer pessoa tenha acesso anônimo à API do Kubernetes.
Depois de obter acesso à API, os agentes de ameaças implantarão um DaemonSet chamado "proxy-api" que permite aos invasores envolver os recursos de todos os nós no cluster simultaneamente e minerar Dero usando os recursos disponíveis.
Os mineradores instalados se juntarão a um pool de mineração Dero, onde todos contribuem com poder de hash e recebem ações de quaisquer recompensas.
Cadeia de ataque do minerador Dero (Crowdstrike)
Crowdstrike diz que a imagem do Docker usada na campanha de criptojacking observada no Dero foi hospedada no Docker Hub e é uma imagem ligeiramente modificada do CentOS 7 contendo arquivos adicionais chamados "entrypoint.sh" e "pause".
Arquivos adicionados na imagem do CentOS (Crowdstrike)
O primeiro arquivo inicializa o minerador Dero com um endereço de carteira codificado e pool de mineração, enquanto o binário "pausa" é o minerador de moeda real.
Os analistas da Crowdstrike não notaram nenhuma intenção dos agentes de ameaça de se mover lateralmente, interromper a operação do cluster, roubar dados ou causar mais danos, então a campanha parece ser 100% motivada financeiramente.
Uma guerra territorial
Pouco depois que a Crowdstrike descobriu a campanha Dero, seus analistas detectaram um operador de criptojacking do Monero tentando seqüestrar os mesmos recursos, eventualmente expulsando o minerador Dero.
Excluindo os arquivos da campanha Dero (Crowdstrike)
O segundo ator de ameaça excluiu o DaemonSet "proxy-api" usado pela campanha Dero e, em seguida, executou uma aquisição muito mais agressiva do cluster, empregando um pod privilegiado e montando um diretório "host", tentando escapar do contêiner.
Em seguida, o agente da ameaça usou um minerador XMRig personalizado baixado do servidor de comando e controle do invasor para minerar Monero escalando para o host e instalando um serviço personalizado.
A campanha Monero optou por minerar no host em vez dos pods, como Dero fez, para acessar mais recursos computacionais e obter um lucro mais significativo.
Além disso, a execução de processos de mineração no host os torna mais difíceis de detectar se mascarados corretamente como serviços do sistema.
Por fim, o operador instalou um cronjob para acionar a carga útil, garantindo assim a persistência entre as reinicializações do cluster Kubernetes.
Embora as campanhas de cryptojacking sejam quase uma dúzia, minerar Dero em vez de outras moedas de privacidade, como Monero, torna esta uma campanha inovadora.
Postar um comentário