详细内容或原文请订阅后点击阅览
Dero 劫持:网络恶棍窃取 Kubernetes 计算能力
упников
来源:安全实验室新闻频道使用具有合法名称的容器大大增加了犯罪分子的保密性。
网络安全研究人员警告称,新的加密劫持活动针对配置不当的 Kubernetes 集群来挖掘 Dero 加密货币。
Kubernetes云安全公司 Wiz 表示,这是对 CrowdStrike 于 2023 年 3 月首次记录的出于经济动机的操作的更新。
向导 报告 第一个记录“在这起事件中,攻击者使用匿名访问互联网连接的集群来启动 Docker Hub 上托管的恶意容器镜像,其中一些镜像的下载次数超过 10,000 次,”Wiz 研究人员报告道。 “这些镜像包含一个名为‘pause’的 UPX 封装的 DERO 矿工。”
主要访问是通过外部公开的 Kubernetes API 服务器进行的,并启用匿名身份验证来传递矿工负载。
API与 2023 版本使用名为“proxy-api”的 DaemonSet 不同,新版本使用看似无害的名为“k8s-device-plugin”和“pytorch-container”的 DaemonSet 在集群的所有节点上运行矿工。
名称“pause”背后的想法是尝试将其冒充为真正的“pause”容器,该容器用于初始设置 pod 并提供网络隔离。
加密货币矿工是一个用 Go 编写的开源二进制文件,已被修改为硬编码 Dero 用户挖掘池的钱包地址和 URL。它还使用 UPX 加壳程序进行隐藏,使分析变得复杂。
去在代码中嵌入挖矿配置的主要优点是能够在没有任何命令行参数的情况下运行挖矿程序,这些参数通常由安全机制控制。