Bilinen ilk kriptaj operasyonu Madenciliği Dero madeni para, açıkta kalan API'lerle savunmasız Kubernetes konteyner orkestratör altyapısını hedefleyen bulunmuştur.
Dero, daha da sağlam anonimlik koruması ile Monero'ya alternatif olarak teşvik edilen bir gizlilik parasıdır.
Monero veya diğer kripto para birimleriyle karşılaştırıldığında, Dero daha hızlı ve daha yüksek parasal madencilik ödülleri vaat ediyor, bu yüzden muhtemelen tehdit aktörlerinin dikkatini çekti.
CrowdStrike'ın yeni bir raporunda, araştırmacılar, müşterilerin Kubernetes kümelerini izlerken olağandışı davranışlar bulduktan sonra Şubat 2023'te devam eden kampanyanın nasıl keşfedildiğini açıklıyor.
Araştırmacılar, saldırıların,-anonim-auth = true olarak ayarlanan kimlik doğrulama ile açık, savunmasız Kubernetes kümelerini tarayan tehdit aktörlerinin başladığını ve Kubernetes API'sına anonim erişim sağladığını söylüyor.
API'ya eriştikten sonra, tehdit aktörleri, saldırganların aynı anda kümedeki tüm düğümlerin kaynaklarını ve mevcut kaynakları kullanarak mayın derosundaki "Proxy-api" adlı bir Daemonset dağıtacaklar.
Kurulan madenciler, herkesin karma gücüne katkıda bulunduğu ve herhangi bir ödülün hisselerini aldığı bir dero madencilik havuzuna birleştirilecektir.
Crowdstrike, gözlemlenen Dero Cryptojing kampanyasında kullanılan Docker görüntüsünün Docker Hub'da barındırıldığını ve "Entrypoint.sh" ve "Duraklama" adlı ek dosyalar içeren biraz değiştirilmiş bir CentOS 7 görüntüsü olduğunu söylüyor.
İlk dosya dero madencisini sert kodlanmış bir cüzdan adresi ve madencilik havuzu ile başlatırken, "duraklama" ikili gerçek para madencidir.
Crowdstrike analistleri, tehdit aktörlerinden yanal hareket etme, küme işlemini bozma, verileri çalma veya daha fazla hasara neden olma niyeti fark etmediler, bu nedenle kampanya% 100 finansal olarak motive edilmiş gibi görünüyor.
Crowdstrike Dero kampanyasını keşfettikten kısa bir süre sonra, analistleri aynı kaynakları kaçırmaya çalışan bir Monero kriptajlama operatörü tespit etti ve sonunda dero madencisini attı.
İkinci tehdit oyuncusu, dero kampanyası tarafından kullanılan "proxy-api" daemonset'ini sildi ve daha sonra kümenin çok daha agresif bir devralmasını gerçekleştirdi, ayrıcalıklı bir bölme kullandı ve kaptan kaçmaya çalışan bir "ana bilgisayar" dizinini monte etti.
Ardından, tehdit oyuncusu, Saldırganın Komut ve Kontrol Sunucusundan Monero'yu ana bilgisayara tırmanarak ve özel bir hizmet yükleyerek Monero'ya indiren özel bir XMRIG madenci kullandı.
Monero kampanyası, Dero'nun yaptığı gibi, daha fazla hesaplama kaynağına erişmek ve daha önemli bir kâr elde etmek için bakla yerine ev sahibinde mayın seçti.
Ayrıca, ana bilgisayarda madencilik süreçlerini çalıştırmak, sistem hizmetleri olarak uygun şekilde maskelenmediğini tespit etmeyi zorlaştırır.
Son olarak, operatör yükü tetiklemek için bir cronjob taktı, böylece Kubernetes kümesi yeniden başlatılmasını sağladı.
Kriptajlama kampanyaları neredeyse bir düzine, Monero gibi diğer gizlilik madeni paralar üzerindeki madencilik dero olsa da, bunu yeni bir kampanya haline getiriyor.
451 pypi paketleri kripto çalmak için krom uzantıları yükleyin
Monero Hard Fork, bilgisayar korsanlarının favori madeni parasını daha da özel hale getirir
Fidye yazılımı ödemeleri, uyuşturucu satışları için yakalanan chipmixer platformu
FBI, 'Domuz Kasap' Kripto Yatırım Şemalarında Spike'ı uyarıyor
Kaynak: Bleeping Computer