CrowdStrike发现了有史以来第一个针对Dero的加密货币挖矿活动
CrowdStrike研究人员发现了自2023年2月以来首次针对Dero挖矿的加密货币挖矿活动。
CrowdStrike发现了有史以来第一个针对Kubernetes基础设施的Dero加密劫持活动。Dero是一个通用、私有和分散的应用程序平台,允许开发人员部署功能强大且不可阻挡的应用程序。与其他加密货币相比,它声称可以提供更好的隐私、匿名性和更高的货币回报。
CrowdStrike发现的cryptojacking操作主要针对Kubernetes集群,这些集群在Kubernetes API上启用匿名访问并监听暴露在互联网上的非标准端口。
该活动于2023年2月开始,源自位于美国的三台服务器
“CrowdStrike发现了有史以来第一个针对Kubernetes基础设施的Dero加密劫持操作。”“发现新颖的Dero加密劫持操作是现有Monero加密劫持操作的目标,该操作随后于2023年2月进行了修改。修改后的Monero活动在接管Kubernetes集群之前踢出了用于Dero加密劫持的DaemonSet。”
专家认为,加密货币劫持操作针对的是Dero,而不是Monero,因为前者提供了更大的奖励,并提供了相同或更好的匿名功能,这与威胁参与者是完美的匹配。
攻击链从攻击者找到一个面向Internet的易受攻击的Kubernetes集群开始。一旦与Kubernetes API交互,攻击者就会部署一个Kubernetes DaemonSet(“proxy-api”),在Kubernetes集群的每个节点上部署一个恶意pod。
“这有助于攻击者同时使用所有节点的资源来运行加密劫持操作。pod的挖矿工作被回馈给社区池,社区池通过他们的数字钱包在其贡献者之间平均分配奖励(即 Dero 硬币)。”

研究人员注意到,一旦易受攻击的Kubernetes集群受到威胁,威胁行为者就不会尝试执行横向移动或扫描互联网以发现其他集群的目标。
Crowdstrike还报告说,攻击者没有尝试删除或破坏集群操作,运营商的TTP表明他们是出于经济动机。
该报告还显示,一个运行Monero挖矿活动的竞争对手组织正通过尝试删除与Dero活动相关的现有“proxy-api”DaemonSet 来瞄准暴露的Kubernetes集群。
“与此同时,CrowdStrike观察到另一个Monero活动,该活动经过修改并了解Dero活动并针对相同的攻击面,但使用更复杂的方法。这两个活动都试图找到未被发现的Kubernetes攻击面并与之抗争。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4968.html