Operasi cryptojacking pertama yang diketahui menambang koin Dero telah ditemukan menargetkan infrastruktur orkestra wadah Kubernetes yang rentan dengan API yang terbuka.
Dero adalah koin privasi yang dipromosikan sebagai alternatif dari Monero dengan perlindungan anonimitas yang lebih kuat.
Dibandingkan dengan Monero atau cryptocurrency lainnya, Dero janji imbalan penambangan uang yang lebih cepat dan lebih tinggi, yang mungkin menjadi alasan mengapa hal itu menarik perhatian pelaku ancaman.
Dalam laporan baru oleh CrowdStrike, para peneliti menjelaskan bagaimana kampanye yang sedang berlangsung ditemukan pada Februari 2023 setelah menemukan perilaku yang tidak biasa saat memantau kluster Kubernetes pelanggan.
Memindai Kubernet
Para peneliti mengatakan serangan dimulai dengan pemindaian pelaku ancaman yang terpapar, kluster Kubernetes yang rentan dengan autentikasi yang diatur ke –anonymous-auth=true, memungkinkan siapa saja mengakses API Kubernetes secara anonim.
Setelah mendapatkan akses ke API, pelaku ancaman akan menerapkan DaemonSet bernama “proxy-api” yang memungkinkan penyerang melibatkan sumber daya semua node dalam kluster secara bersamaan dan menambang Dero menggunakan sumber daya yang tersedia.
Penambang yang terpasang akan bergabung dengan kumpulan penambangan Dero, di mana setiap orang menyumbangkan kekuatan hashing dan menerima bagian dari hadiah apa pun.
Crowdstrike mengatakan gambar Docker yang digunakan dalam kampanye cryptojacking Dero yang diamati dihosting di Docker Hub dan merupakan gambar CentOS 7 yang sedikit dimodifikasi yang berisi file tambahan bernama “entrypoint.sh” dan “pause.”
File pertama menginisialisasi penambang Dero dengan alamat dompet hardcoded dan kumpulan penambangan, sedangkan biner “jeda” adalah penambang koin yang sebenarnya.
Analis Crowdstrike melihat tidak ada niat dari pelaku ancaman untuk bergerak secara lateral, mengganggu operasi cluster, mencuri data, atau menyebabkan kerusakan lebih lanjut, sehingga kampanye tersebut tampaknya 100% bermotivasi finansial.
Perang rumput
Tak lama setelah Crowdstrike menemukan kampanye Dero, analisnya mendeteksi operator cryptojacking Monero yang mencoba membajak sumber daya yang sama, akhirnya menendang keluar penambang Dero.
Pelaku ancaman kedua menghapus DaemonSet “proxy-api” yang digunakan oleh kampanye Dero dan kemudian melakukan pengambilalihan cluster yang jauh lebih agresif, menggunakan pod istimewa dan memasang direktori “host”, mencoba untuk keluar dari container.
Selanjutnya, pelaku ancaman menggunakan penambang XMRig khusus yang diunduh dari server perintah dan kontrol penyerang untuk menambang Monero dengan meneruskan ke host dan memasang layanan khusus.
Kampanye Monero memilih untuk menambang di host daripada pod, seperti yang dilakukan Dero, untuk mengakses lebih banyak sumber daya komputasi dan menghasilkan keuntungan yang lebih signifikan.
Selain itu, menjalankan proses penambangan di host membuatnya lebih sulit untuk dideteksi jika disamarkan dengan benar sebagai layanan sistem.
Terakhir, operator menginstal cronjob untuk memicu payload, sehingga memastikan kegigihan antara restart klaster Kubernetes.
Sementara kampanye cryptojacking hampir selusin sepeser pun, menambang Dero di atas koin privasi lainnya, seperti Monero, menjadikan ini kampanye baru.
