Des chercheurs en cybersécurité ont découvert la toute première campagne illicite de minage de crypto-monnaie utilisée pour frapper Dero depuis début février 2023.
« La nouvelle opération de cryptojacking Dero se concentre sur la localisation des clusters Kubernetes avec un accès anonyme activé sur une API Kubernetes et l’écoute sur des ports non standard accessibles depuis Internet », a déclaré CrowdStrike dans un nouveau rapport partagé avec Breachtrace.
Le développement marque un changement notable par rapport à Monero, qui est une crypto-monnaie répandue utilisée dans de telles campagnes. On soupçonne que cela peut avoir à voir avec le fait que Dero « offre des récompenses plus importantes et fournit les mêmes fonctionnalités d’anonymisation ou de meilleure qualité ».
Les attaques, attribuées à un acteur inconnu motivé financièrement, commencent par rechercher des clusters Kubernetes avec une authentification définie sur –anonymous-auth=true, ce qui permet aux requêtes anonymes adressées au serveur de supprimer les charges utiles initiales de trois adresses IP différentes basées aux États-Unis.
Cela inclut le déploiement d’un Kubernetes DaemonSet nommé « proxy-api », qui, à son tour, est utilisé pour déposer un pod malveillant sur chaque nœud du cluster Kubernetes afin de lancer l’activité de minage.
À cette fin, le fichier YAML du DaemonSet est orchestré pour exécuter une image Docker qui contient un binaire « pause », qui est en fait le mineur de pièces Dero.
« Dans un déploiement Kubernetes légitime, les conteneurs » pause « sont utilisés par Kubernetes pour démarrer un pod », a noté la société. « Les attaquants ont peut-être utilisé ce nom pour se fondre afin d’éviter une détection évidente. »
La société de cybersécurité a déclaré avoir identifié une campagne parallèle de minage de Monero ciblant également les clusters Kubernetes exposés en tentant de supprimer le DaemonSet « proxy-api » existant associé à la campagne Dero.
Ceci est une indication de la lutte en cours entre les groupes de cryptojacking qui se disputent les ressources cloud pour prendre et conserver le contrôle des machines et consommer toutes ses ressources.
« Les deux campagnes tentent de trouver des surfaces d’attaque Kubernetes non découvertes et se battent », ont déclaré Benjamin Grap et Manoj Ahuje, chercheurs sur les menaces chez CrowdStrike.