นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พบแคมเปญการโจมตีเพื่อขุดเหรียญ cryptocurrency สำหรับเหรียญ Dero เป็นครั้งแรกตั้งแต่เดือนกุมภาพันธ์ 2023
CrowdStrike รายงานว่า "การดำเนินการ Cryptojacking ของเหรียญ Dero นี้มุ้งเน้นไปที่การค้นหา Kubernetes clusters ที่มีการเปิดใช้งานแบบไม่ระบุตัวตน ที่เปิดใช้งานบน Kubernetes API และเปิดใช้งานพอร์ตที่ไม่ได้มาตรฐานที่สามารถเข้าถึงได้จากอินเทอร์เน็ต"
การพัฒนานี้เป็นการเปลี่ยนแปลงที่สำคัญจาก Monero ซึ่งเป็นสกุลเงินดิจิทัลที่พบบ่อยในแคมเปญการโจมตีเพื่อขุดเหรียญ cryptocurrency มีความเป็นไปได้ว่าสาเหตุเนื่องมาจาก Dero มีผลตอบแทนที่สูง และมีฟีเจอร์ที่ไม่ระบุตัวตนที่เหมือนกัน หรือดีกว่า Monero
การโจมตีนี้มาจากผู้ไม่หวังดีที่มีแรงจูงใจทางด้านการเงิน โดยการโจมตีจะเริ่มต้นด้วยการสแกนหา Kubernetes clusters ที่ตั้งค่าการตรวจสอบสิทธิ์เป็น '--anonymous-auth=true' ซึ่งอนุญาตให้ส่งคำขอแบบไม่ระบุตัวตนไปยังเซิร์ฟเวอร์ เพื่อฝัง payloads ที่เป็นอันตราย โดยมีต้นทางเป็น IP Address จาก 3 แห่งในสหรัฐฯ
การโจมตีนี้รวมถึงการติดตั้ง Kubernetes DaemonSet ชื่อ 'proxy-api' ซึ่งจะถูกใช้ในการฝัง pod ที่เป็นโปรแกรมควบคุมทุก ๆ Node ของ Kubernetes cluster เพื่อเริ่มต้นการขุดเหรียญ cryptocurrency
เพื่อให้เกิดผลเช่นนั้น ไฟล์ YAML ของ DaemonSet จะถูกสั่งให้รัน Docker image ที่มีไฟล์ไบนารีชื่อ 'pause' ซึ่งเป็นโปรแกรมสำหรับขุดเหรียญ Dero
ในการติดตั้ง Kubernetes ที่ถูกต้อง 'pause' containers จะถูกใช้โดย Kubernetes เพื่อทำการบูต pod โดยทางบริษัทระบุว่า "ผู้ไม่หวังดีอาจจะใช้ชื่อนี้เพื่อแฝงตัวเข้ากับระบบ และหลีกเลี่ยงการตรวจจับ
CrowdStrike ระบุว่าตรวจพบการโจมตีที่เหมือนกันนี้ในการขุดเหรียญ Morero ด้วยการโจมตี Kubernetes clusters โดยพยายามลบ "proxy-api" DaemonSet ที่เกี่ยวข้องกับการโจมตีเพื่อขุดเหรียญ Dero
โดยเป็นสัญญาณให้เห็นถึงการโจมตีเพื่อแย่งชิงระหว่างกลุ่มที่มีเจตนาสำหรับการ Cryptojacking ซึ่งแข่งขันกันเพื่อใช้ทรัพยากรบนคลาวด์ในการเข้าควบคุมเครื่อง และใช้ทรัพยากรของเครื่องทั้งหมด
นักวิจัยจาก CrowdStrike คาดว่า "ทั้ง 2 แคมเปญ พยายามค้นหาเพื่อโจมตี Kubernetes ที่ยังไม่ถูกโจมตี และกำลังแข่งขันกัน"
ที่มา : thehackernews
You must be logged in to post a comment.