影视话题:Kubernetes集群被滥用以进行加密货币挖矿
关键要点
滥用配置不当的Kubernetes集群,攻击者通过匿名身份认证部署恶意Docker镜像进行加密货币挖矿。使用的恶意镜像中含有伪装成合法“pause”容器的DERO矿工,利用“k8sdeviceplugin”和“pytorchcontainer” DaemonSets在所有集群节点上执行。攻击者还使用了一个droppers shell脚本,主要用于传递GMiner负载,同时终止其他矿工进程。为了避免被发现,威胁演员注册了外观无辜的域名,以更好地融入合法网络流量,并加密与矿池的通信。在近来的网络安全报告中,威胁演员利用配置不当的Kubernetes集群和匿名认证,成功部署了恶意的Docker Hub托管镜像,这使得DERO加密货币的挖矿活动得以实施,属于一个持续的加密劫持运动,报道来自黑客新闻。
根据Wiz Security的报告,这些恶意图像中注入了名为“pause”的DERO矿工,它伪装成合法的“pause”容器,并通过“k8sdeviceplugin”和“pytorchcontainer” DaemonSets在所有集群节点上执行。
除了Docker镜像,攻击者还利用了一个droppers shell脚本,旨在传送GMiner负载的同时,终止所有其他矿工进程。
研究人员表示:“[这些威胁演员]注册了看似无辜的域名,以避免引起猜疑,并更好地融入合法的网络流量,同时掩盖与其他知名矿池的通信。这些结合的策略展示了攻击者不断适应其方法并在防御者之前保持领先一步的努力。”
攻击方式描述恶意Docker镜像滥用配置不当的Kubernetes集群,含有DERO矿工Dropper脚本用于传递GMiner负载并终止其他矿工进程域名注册注册看似无辜的域名以避免引起注意这一连串的攻击显示出网络安全防御者在与攻击者斗争中的艰难处境,这同时也提醒企业和开发者要定期审视和配置他们的Kubernetes环境,以防范此类勒索和挖矿攻击。
黑洞加速
