I ricercatori di CrowdStrike hanno scoperto la prima campagna di cryptojacking per minare la criptovaluta Dero. Gli operatori di questa campagna stanno prendendo di mira l’infrastruttura Kubernetes vulnerabile con API aperte e stanno combattendo contro gruppi di attori malevoli che estraggono Monero sulle stesse macchine.
Dero è pubblicizzato come alternativa a Monero, ma con maggior anonimato. Rispetto a Monero e ad altre criptovalute, Dero promette rendimenti più rapidi e più elevati, motivo per cui probabilmente ha già attirato l’attenzione degli aggressori.
Gli analisti di CrowdStrike scrivono che questa campagna è stata notata nel febbraio 2023, dopo la scoperta di attività anomale in alcuni cluster Kubernetes.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli attacchi iniziano con gli aggressori alla ricerca di cluster Kubernetes aperti e vulnerabili con autenticazione --anonymous-auth=true, consentendo a chiunque di accedere all’API Kubernetes in modo anonimo.
Avendo accesso all’API, gli aggressori distribuiscono un proxy-api nel sistema DaemonSet, che consente di utilizzare contemporaneamente le risorse dell’intero cluster e di estrarre Dero utilizzando tutte le risorse disponibili. I “minatori” si uniscono al pool Dero, dove tutti contribuiscono alla potenza di calcolo totale e ricevono una quota di eventuali premi.
Secondo i ricercatori, l’immagine Docker utilizzata in questa campagna è ospitata su Docker Hub ed è un’immagine CentOS 7 leggermente modificata che contiene file aggiuntivi chiamati entrypoint.sh e pause. Il primo file avvia il miner Dero con un portafoglio hardcoded e un pool per il mining, e il binario di pausa è il miner stesso.
Si noti che gli aggressori non stanno cercando di eseguire movimenti laterali, interrompere il funzionamento dei cluster, rubare dati e causare danni aggiuntivi alle loro vittime: questa campagna di attacco sembra avere finalità esclusivamente economiche.
È interessante notare che, mentre studiavano questa campagna, gli analisti di CrowdStrike hanno anche scoperto un altro gruppo di hacker che estrae Monero e ha cercato di impossessarsi delle stesse risorse, “sopravvivendo” al minatore dell’altro gruppo di criminali informatici.
Questi malintenzionati rimuovono l’API proxy DaemonSet utilizzata per estrarre Dero e quindi eseguono un’acquisizione più aggressiva del cluster e tentano di uscire dal container.
Questi aggressori utilizzano un miner XMRig personalizzato per estrarre Monero ed effettuato mining sull’host e non nei moduli, come fanno i minatori di Dero. Pod, il secondo gruppo cerca di ottenere l’accesso a più risorse informatiche e quindi aumentare i propri profitti.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Hacking
Innovazione
Cultura
Cybercrime
Cyber Italia