Dero-джекинг: киберзлодеи воруют вычислительные мощности Kubernetes

13.06.2024

Использование контейнера с легитимным названием многократно повысило скрытность преступников.

Исследователи в области кибербезопасности предупредили о новой кампании по криптоджекингу, нацеленной на некорректно настроенные кластеры Kubernetes — открытое ПО для автоматизации развёртывания, масштабирования и координации контейнеризированных приложений в условиях кластера. Поддерживает основные технологии контейнеризации, включая Docker, rkt, а также поддерживает технологию аппаратной виртуализации." data-html="true" data-original-title="Kubernetes" >Kubernetes для майнинга криптовалюты Dero.

Компания Wiz — это стартап, который предоставляет решения для кибербезопасности облачной инфраструктуры AWS, Microsoft Azure и GCP. Компания была основана в 2020 году бывшими руководителями Microsoft Cloud Security Group." data-html="true" data-original-title="Wiz" >Wiz, занимающаяся облачной безопасностью, сообщила, что это обновлённый вариант финансово мотивированной операции, впервые задокументированной CrowdStrike в марте 2023 года.

«В данном инциденте злоумышленник использовал анонимный доступ к кластеру, подключенному к интернету, чтобы запускать вредоносные контейнерные образы, размещённые на Docker Hub, некоторые из которых были загружены более 10 000 раз», — сообщили исследователи Wiz. «Эти образы содержат упакованный с помощью UPX майнер DERO под названием "pause"».

Первичный доступ осуществляется через внешне доступные серверы API (Application Programming Interface) — это набор готовых функций и процедур, которые позволяют разработчикам создавать программное обеспечение, взаимодействующее с другими приложениями или сервисами. API определяет, как различные компоненты программного обеспечения должны взаимодействовать друг с другом, обеспечивая при этом безопасность и стабильность работы системы. API часто используется в веб-разработке для создания сайтов и приложений, которые используют данные и функциональность других сервисов." data-html="true" data-original-title="API" >API Kubernetes с включенной анонимной аутентификацией для доставки полезной нагрузки майнера.

В отличие от версии 2023 года, которая использовала DaemonSet под названием «proxy-api», новая версия использует, на первый взгляд, безобидные DaemonSet под названиями «k8s-device-plugin» и «pytorch-container» для запуска майнера на всех узлах кластера.

Идея названия контейнера «pause» заключается в попытке выдать его за настоящий контейнер «pause», который используется для начальной настройки пода и обеспечения сетевой изоляции.

Майнер криптовалюты представляет собой бинарный файл с открытым исходным кодом, написанный на Go (часто также «Golang») – компилируемый многопоточный язык программирования, разработанный внутри компании Google. Официально язык был представлен в ноябре 2009 года. На данный момент поддержка официального компилятора, разрабатываемого создателями языка, осуществляется для операционных систем FreeBSD, OpenBSD, Linux, macOS, Windows, DragonFly BSD, Plan 9, Solaris, Android, AIX." data-html="true" data-original-title="Go" >Go, который был модифицирован для жёсткого кодирования адреса кошелька и URL-адресов пользовательских пулов майнинга Dero. Он также скрыт с помощью пакера UPX, чтобы усложнить анализ.

Главное преимущество встраивания конфигурации майнинга в код заключается в возможности запуска майнера без каких-либо аргументов командной строки, которые обычно контролируются механизмами безопасности.

Wiz также выявила дополнительные инструменты, разработанные злоумышленником, включая Windows-образец упакованного с помощью UPX майнера Dero, а также скрипт-дроппер, предназначенный для завершения процессов конкурирующих майнеров на заражённом хосте и установки GMiner с GitHub.

«Злоумышленник зарегистрировал домены с невинными названиями, чтобы избежать подозрений и лучше вписаться в легитимный веб-трафик, одновременно маскируя коммуникацию с известными пулами майнинга», — отметили исследователи.

«Эти комбинированные тактики демонстрируют стремление злоумышленника адаптировать свои методы и опережать защитные механизмы».

Добавить комментарий

Your email address will not be published.

Предыдущая история

Что есть, чтобы не болеть? Врач рассказала, когда нужны лечебные диеты

Next Story

«Умная» пуговица и «говорящий» ботинок: турецкий студент задержан за обман на экзамене

Последние из Наука и образование

Рейтинг мировых университетов THE 2025: Оксфорд удерживает первое место, проверьте топ-10 и их общий балл

09.11.2024
Оксфордский университет, Массачусетский технологический институт (MIT) и Гарвардский университет заняли первые три места в рейтинге мировых университетов THE 2025. Times Higher Education (THE) поставил

Первоклассники Туркменистана получат в подарок от Президента усовершенствованные модели ноутбуков

30.08.2024
В новом 2024-2025 учебном году более 155 тысяч первоклассников Туркменистана получат в подарок от имени Президента Сердара Бердымухамедова усовершенствованные модели портативных компьютеров. Среди новшеств

Учебная поездка в Малайзию

30.08.2024
В канун нового, 2024-2025 учебного года вузовская делегация в составе преподавателей и студентов Международного университета нефти и газа имени Ягшыгелди Какаева, а также его

«Цифроземье 2024»: ИТ-форум, где будущее уже здесь

20.08.2024
В начале осени Воронеж станет эпицентром цифровых инноваций. 5 сентября в Сити-парке «Град» пройдет ИТ-форум «Цифроземье 2024», который объединит специалистов, предпринимателей, экспертов и всех,
Перейти кTop