Một chiến dịch tấn công tiền điện tử mới đã được phát hiện nhắm mục tiêu vào cơ sở hạ tầng docker và Kubernetes dễ bị tấn công như một phần của các cuộc tấn công cơ hội được thiết kế để khai thác bất hợp pháp tiền điện tử.
Công ty bảo mật mạng CrowdStrike gọi là hoạt động Kiss-a-dogvới cơ sở hạ tầng chỉ huy và kiểm soát chồng chéo với cơ sở hạ tầng được liên kết với các nhóm khác như TeamTNT, được biết là gây ra các trường hợp Docker và Kubernetes bị định cấu hình sai.
Các cuộc xâm nhập, được phát hiện vào tháng 9 năm 2022, lấy tên của chúng từ một miền có tên “kiss.a-dog[.]top “được sử dụng để kích hoạt tải trọng tập lệnh shell trên vùng chứa bị xâm nhập bằng cách sử dụng lệnh Python được mã hóa Base64.
Nhà nghiên cứu Manoj Ahuje của CrowdStrike cho biết trong một phân tích kỹ thuật: “URL được sử dụng trong payload bị che khuất bằng dấu gạch chéo ngược để đánh bại quá trình giải mã tự động và đối sánh regex để truy xuất miền độc hại.
Chuỗi tấn công sau đó cố gắng thoát khỏi vùng chứa và di chuyển theo chiều ngang vào mạng bị vi phạm, đồng thời thực hiện các bước để chấm dứt và xóa các dịch vụ giám sát đám mây.
Là các phương pháp bổ sung để tránh bị phát hiện, chiến dịch sử dụng rootkit Diamorphine và libprocesshide để ẩn các quy trình độc hại khỏi người dùng, quy trình sau được biên dịch dưới dạng thư viện chia sẻ và đường dẫn của nó được đặt làm giá trị cho biến môi trường LD_PRELOAD.
Ahuje cho biết: “Điều này cho phép những kẻ tấn công đưa các thư viện được chia sẻ độc hại vào mọi quy trình được tạo ra trên một vùng chứa bị xâm phạm.
Mục tiêu cuối cùng của chiến dịch là khai thác lén lút tiền điện tử bằng cách sử dụng phần mềm khai thác XMRig cũng như mở cửa hậu cho các phiên bản Redis và Docker để khai thác và các cuộc tấn công tiếp theo khác.
Ahuje lưu ý: “Khi giá tiền điện tử giảm xuống, các chiến dịch này đã bị cản trở trong vài tháng qua cho đến khi nhiều chiến dịch được khởi chạy vào tháng 10 để tận dụng lợi thế của môi trường cạnh tranh thấp.
Phát hiện cũng đến khi các nhà nghiên cứu từ Sysdig kết thúc một hoạt động khai thác tiền điện tử phức tạp khác có tên PURPLEURCHIN, thúc đẩy máy tính được phân bổ cho các tài khoản dùng thử miễn phí trên GitHub, Heroku và Buddy[.]Hoạt động để mở rộng các cuộc tấn công.
Có tới 30 tài khoản GitHub, 2.000 tài khoản Heroku và 900 tài khoản Buddy được cho là đã được sử dụng trong chiến dịch tấn công tự động.
Cuộc tấn công đòi hỏi việc tạo tài khoản GitHub do diễn viên kiểm soát, mỗi tài khoản chứa một kho lưu trữ, đến lượt nó, có Hành động GitHub để chạy các hoạt động khai thác bằng cách khởi chạy hình ảnh Docker Hub.
Các nhà nghiên cứu cho biết: “Việc sử dụng các tài khoản miễn phí sẽ chuyển chi phí vận hành các công cụ mã hóa sang nhà cung cấp dịch vụ. “Tuy nhiên, giống như nhiều trường hợp sử dụng gian lận, việc lạm dụng tài khoản miễn phí có thể ảnh hưởng đến những người khác. Chi phí cao hơn cho nhà cung cấp sẽ dẫn đến giá cao hơn cho khách hàng hợp pháp của họ.”
