Компания CrowdStrike обнаружила первую в истории операцию криптоджекинга Dero, направленную на инфраструктуру Kubernetes.
Dero - это криптовалюта, которая утверждает, что предлагает улучшенную конфиденциальность, анонимность и более высокое и быстрое денежное вознаграждение по сравнению с Monero, которая часто используется в операциях криптоджекинга.
- Новая операция криптоджекинга Dero сосредоточена на обнаружении кластеров Kubernetes с анонимным доступом к API Kubernetes и прослушиванием нестандартных портов, доступных из интернета. Атаки постоянно наблюдались CrowdStrike с начала февраля 2023 года с трех серверов, расположенных в США.
- Установлено, что новая операция по взлому криптовалюты Dero нацелена на существующую операцию по взлому криптовалюты Monero, которая была впоследствии модифицирована в феврале 2023 года. Модифицированная кампания Monero выбивает DaemonSets, используемые для криптоджекинга Dero в кластере Kubernetes, прежде чем захватить его.
- Также была обнаружена операция по взлому криптовалюты Monero, которая была осведомлена о кампании Dero и конкурировала с ней. Кампания Monero использует повышение привилегий с помощью DaemonSets и root mount хоста, а также добывает XMR на хосте.
Indicators of Compromise
IPv4
- 172.86.75.2
- 205.185.124.121
- 209.141.32.72
- 209.141.42.48
- 45.61.137.195