First Dero Cryptojacking apunta a instancias de Kubernetes no seguras
Conozca cómo funciona esta campaña de criptomonedas y su alcance. Luego, obtenga consejos para proteger las instancias vulnerables de Kubernetes de esta amenaza de ciberseguridad.
Imagen: Pixabay
La firma de ciberseguridad CrowdStrike observó la primera campaña de cryptojacking de Dero. El ataque tiene como objetivo los clústeres de Kubernetes a los que se puede acceder en Internet y que permiten el acceso anónimo a la API de Kubernetes.
Salta a:
¿Qué es Dro?
Dero es una plataforma de cadena de bloques centrada en la privacidad diseñada para proporcionar transacciones rápidas y seguras con funciones de privacidad mejoradas.
Informes de seguridad de lectura obligada
Dero aprovecha múltiples tecnologías, incluidas CryptoNote, Bulletproofs y su propio algoritmo de prueba de trabajo para brindar privacidad y transacciones anónimas sin comprometer la velocidad o la escalabilidad. Dero utiliza firmas de anillo y direcciones ocultas para garantizar que las transacciones no se puedan rastrear hasta su origen.
Dero también ofrece tarifas de transferencia bajas y la plataforma es de código abierto. La criptomoneda nativa de Dero se llama DERO.
Algunos ciberdelincuentes que vieron estas especificaciones comenzaron a usar DERO en lugar de otras criptomonedas populares que son ampliamente utilizadas por los ciberdelincuentes, como Bitcoin y Monero.
¿Cómo funciona este ataque de cryptojacking?
Con este ataque de cryptojacking, el atacante busca instancias de Kubernetes con el parámetro de autenticación establecido en «–anonymous-auth=true». Además, como señalan los investigadores de CrowdStrike, Benjamin Grap y Manoj Ahuje, «un usuario con suficientes privilegios que ejecutan ‘proxy kubectl’ podría exponer sin darse cuenta las API seguras de Kubernetes en el host que ejecuta kubectl, una forma de API de exposición menos obvia. El clúster de Kubernetes omite la autenticación».
VER: Política de acceso remoto (Tecnopedia Premium)
Una vez que se descubre un clúster de Kubernetes vulnerable, el atacante implementa un DaemonSet de Kubernetes llamado «proxy-api». La operación implementó un pod malicioso en cada nodo del clúster, lo que permitió al atacante ejecutar cryptojacking en todos los nodos del clúster simultáneamente (Figura A).
Figura A
Proceso de ataque de campaña. Imagen: CrowdStrike
Una vez que todo esté en su lugar, comenzará la extracción en cada módulo, generando monedas Dero, que luego se distribuirán al grupo comunitario.
¿Cuál es el alcance de este ataque de cryptojacking?
Los actores de la amenaza utilizaron la imagen de Docker «pauseyyf/pause» alojada en Docker Hub. En el momento de esta investigación, la imagen de Docker tenía más de 4200 extracciones (Figura B), revelando cuántas instancias mineras potenciales se han implementado.
Figura B
La imagen de Docker del actor de amenazas mostró más de 4200 extracciones. Imagen: CrowdStrike
Un archivo de script llamado «entrypoint.sh» ejecuta un binario de minería de monedas Dero llamado «pausa», tomando la dirección de la billetera y el grupo de minería como parámetros.
Un atacante podría llamar al minero «pausa» porque un contenedor en pausa en una instancia legítima de Kubernetes se usa para arrancar los pods. Esta denominación puede ayudar a los atacantes a evitar una detección obvia.
Como señalan los investigadores, los atacantes no intentan moverse lateralmente ni pivotar de ninguna manera alrededor de la instancia de Kubernetes, lo que significa que no están interesados en nada más que en los recursos mineros utilizados para generar monedas Dero.
A diferencia de otras criptomonedas como Bitcoin, no hay forma de verificar el saldo de las direcciones de billetera utilizadas en el ataque.
Un nuevo ataque de criptomoneda Monero
En febrero de 2023, otra campaña de ataque apuntó a instancias vulnerables de Kubernetes, esta vez para minar la criptomoneda Monero.
La nueva campaña comienza eliminando los DaemonSets de Kubernetes existentes llamados «proxy-api», que son específicos de la campaña de cryptojacking de Dero. En otras palabras, el actor de amenazas que implementa la nueva campaña está al tanto de la operación de cryptojacking existente de Dero y quiere cerrarla.
Además de eliminar los DaemonSets proxy-api, los atacantes también eliminaron los DaemonSets denominados «api-proxy» y «k8s-proxy», que pueden ser responsables de otras campañas.
La campaña Monero es más compleja que la campaña Dero porque implementa un pod privilegiado y monta un directorio «host» en un intento de escapar del contenedor. También crea un trabajo cron para ejecutar la carga útil y ocultar el proceso de minería con un rootkit.
Cómo proteger su instancia de Kubernetes
Es fundamental proteger las instancias de Kubernetes a las que se puede acceder desde Internet. Siga estos consejos para una protección óptima:
Para empezar, ninguna instancia de Kubernetes debería permitir el acceso anónimo. El acceso a Kubernetes debe exigir una autenticación sólida, como la autenticación multifactor, para garantizar que solo los usuarios autorizados puedan acceder a las instancias.
También debe implementar un control de acceso basado en funciones para controlar el acceso a los recursos de Kubernetes en función de las funciones y los permisos de los usuarios.
En una escala más amplia, ya sea para Kubernetes o Docker, las imágenes de contenedores solo deben descargarse de fuentes confiables, como repositorios oficiales o proveedores de confianza. Aun así, las imágenes aún deben escanearse en busca de vulnerabilidades.
A partir de ahí, habilite el registro y controle la actividad en todas las instancias de Kubernetes para detectar actividades sospechosas o intentos de acceso.
Finalmente, mantenga todo el software actualizado y con parches para abordar las vulnerabilidades conocidas y los problemas de seguridad.
Lea a continuación: Lista de verificación de evaluación de riesgos de seguridad (Tecnopedia Premium)
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
