15 mars 2023Ravie LakshmananSécurité du serveur / Crypto-monnaie

Kubernetes

Des chercheurs en cybersécurité ont découvert la toute première campagne illicite de minage de crypto-monnaie utilisée pour frapper Dero depuis début février 2023.

« La nouvelle opération de cryptojacking Dero se concentre sur la localisation des clusters Kubernetes avec un accès anonyme activé sur une API Kubernetes et l’écoute sur des ports non standard accessibles depuis Internet », CrowdStrike a dit dans un nouveau rapport partagé avec The Hacker News.

Le développement marque un changement notable par rapport à Monero, qui est une crypto-monnaie répandue utilisée dans de telles campagnes. On soupçonne que cela pourrait être lié au fait que Déro « offre des récompenses plus importantes et fournit des fonctionnalités d’anonymisation identiques ou meilleures. »

Les attaques, attribuées à un acteur inconnu motivé financièrement, commencent par la recherche de clusters Kubernetes avec une authentification définie comme –anonymous-auth=truequi permet aux requêtes anonymes adressées au serveur de supprimer les charges utiles initiales de trois adresses IP différentes basées aux États-Unis.

Publicité

Cela inclut le déploiement d’un Kubernetes Ensemble de démons nommé « proxy-api », qui, à son tour, est utilisé pour déposer un pod malveillant sur chaque nœud du cluster Kubernetes afin de lancer l’activité de minage.

Opération De Cryptojacking

À cette fin, le fichier YAML du DaemonSet est orchestré pour exécuter une image Docker contenant un binaire « pause », qui est en fait le Mineur de pièces Dero.

« Dans un déploiement Kubernetes légitime, les conteneurs » pause « sont utilisés par Kubernetes pour démarrer un pod », a noté la société. « Les attaquants ont peut-être utilisé ce nom pour se fondre afin d’éviter une détection évidente. »

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.

RÉSERVEZ VOTRE PLACE

La société de cybersécurité a déclaré avoir identifié une campagne parallèle de minage de Monero ciblant également les clusters Kubernetes exposés en tentant de supprimer le DaemonSet « proxy-api » existant associé à la campagne Dero.

Ceci est une indication de la lutte en cours entre les groupes de cryptojacking qui se disputent les ressources cloud pour prendre et conserver le contrôle des machines et consommer toutes ses ressources.

« Les deux campagnes tentent de trouver des surfaces d’attaque Kubernetes non découvertes et se battent », ont déclaré Benjamin Grap et Manoj Ahuje, chercheurs sur les menaces chez CrowdStrike.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentUn ancien responsable de Trump affirme que les États-Unis détruiraient les usines de TSMC si la Chine envahissait Taïwan
Article suivantChoses qu’Android peut faire que l’iPhone ne peut pas
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici