اكتشف باحثو الأمن السيبراني أول حملة تعدين غير مشروعة للعملات المشفرة تُستخدم في سك Dero منذ بداية فبراير 2023.
قال CrowdStrike في تقرير جديد تمت مشاركته مع The Hacker News: "تركز عملية Dero Cryptojacking الجديدة على تحديد موقع مجموعات Kubernetes مع تمكين الوصول المجهول على واجهة برمجة تطبيقات Kubernetes والاستماع إلى المنافذ غير القياسية التي يمكن الوصول إليها من الإنترنت".
يمثل التطور تحولًا ملحوظًا من Monero ، وهي عملة مشفرة سائدة تستخدم في مثل هذه الحملات. يشتبه في أنه قد يكون له علاقة بحقيقة أن Dero "يقدم مكافآت أكبر ويوفر نفس ميزات إخفاء الهوية أو أفضل منها."
تبدأ الهجمات ، المنسوبة إلى جهة فاعلة غير معروفة ذات دوافع مالية ، بالمسح بحثًا عن مجموعات Kubernetes مع تعيين المصادقة على أنها --anonymous-auth = true ، مما يسمح للطلبات المجهولة للخادم بإسقاط الحمولات الأولية من ثلاثة عناوين IP مختلفة في الولايات المتحدة.
يتضمن ذلك نشر Kubernetes DaemonSet المسمى "proxy-api" ، والذي يستخدم بدوره لإسقاط جراب ضار على كل عقدة من مجموعة Kubernetes لبدء نشاط التعدين.
تحقيقًا لهذه الغاية ، يتم تنظيم ملف YAML الخاص بـ DaemonSet لتشغيل صورة Docker تحتوي على ثنائي "إيقاف مؤقت" ، وهو في الواقع عامل منجم عملة Dero .
لاحظت الشركة أنه "في نشر Kubernetes الشرعي ، تستخدم Kubernetes حاويات 'الإيقاف المؤقت' لبدء تشغيل الكبسولة". "ربما استخدم المهاجمون هذا الاسم للاندماج لتجنب الاكتشاف الواضح."
قالت شركة الأمن السيبراني إنها حددت حملة تعدين Monero موازية تستهدف أيضًا مجموعات Kubernetes المكشوفة من خلال محاولة حذف مجموعة DaemonSet "proxy-api" الحالية المرتبطة بحملة Dero.
هذا مؤشر على الصراع المستمر بين مجموعات الكريبتوجاكينج التي تتنافس على الموارد السحابية للسيطرة على الآلات والاحتفاظ بها واستهلاك جميع مواردها.
وقال باحثو التهديد في CrowdStrike ، بنجامين غراب ومانوج أهوجي: "تحاول كلتا الحملتين العثور على أسطح هجوم Kubernetes غير مكتشفة وتقاومانها".