Le applicazioni Docker e Kubernetes possono finalmente “baciare il cane”

I ricercatori di CrowdStrike hanno scoperto una nuova campagna di cryptojacking che prende di mira le vulnerabili infrastrutture Docker e Kubernetes.

Gli esperti hanno soprannominato la campagna “Kiss-a-dog” in quanto le intrusioni scoperte nel settembre 2022 usano un dominio chiamato “kiss.a-dog[.]top”, che viene utilizzato per eseguire payload sui container compromessi utilizzando un comando Python con codifica Base64.

A metà del 2022, un crollo delle criptovalute ha causato il caos nel mercato delle valute digitali dove diverse valute, incluso Bitcoin, sono scese dal 40% al 90% e alcune di esse sono morte. Durante questo periodo, l’attività di cryptomining su ambienti containerizzati è rimasta attutita fino ad ora.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nel settembre 2022, uno degli honeypot di CrowdStrike ha individuato una serie di campagne che enumeravano superfici di attacco dei container vulnerabili come Docker e Kubernetes.

Poiché CrowdStrike monitora le API Docker esposte, un container Docker compromesso ha attivato ulteriori indagini individuando questo nuova tecnica di infezione.

“L’URL utilizzato nel payload è nascosto per aggirare la decodifica automatica”

ha affermato Manoj Ahuje, ricercatore di CrowdStrike in un’analisi tecnica.

Gli hacker alla fine escono dal container e si spostano nella rete compromessa, terminando ed eliminando i servizi di monitoraggio del cloud.

La campagna utilizza i rootkit Diamorphine e libprocesshide per eludere il rilevamento e nascondere i processi dannosi. Allo stesso tempo, libprocesshide viene compilato come una libreria condivisa, che consente agli aggressori di iniettare librerie dannose in ogni processo creato in un container compromesso.

L’obiettivo finale della campagna è il mining di criptovalute utilizzando il software di mining XMRig, nonché lo sfruttamento di istanze Redis e Docker vulnerabili per il mining e altri attacchi successivi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.