新的加密貨幣 Dero 挖礦活動，正以K8s集群為目標進行

CrowdStrike在一份新報告中說：新的Dero加密貨幣開采活動集中定位在Kubernetes集群，該集群在Kubernetes API上啟用了匿名訪問，并在可從互聯網訪問的非標準端口上進行監聽。

這一發展標志著從Monero的一個明顯轉變，Monero是此類活動中普遍使用的加密貨幣。這可能與Dero 提供更大的獎勵和更好的匿名功能有關。

這些攻擊是由一個不知名的攻擊者進行的，首先是掃描Kubernetes集群，認證設置為--anonymous-auth=true，這允許匿名請求服務器，從三個不同的美國IP地址投放初始有效載荷。

這包括部署一個名為 "proxy-api "的Kubernetes DaemonSet，反過來，它被用來在Kubernetes集群的每個節點上投放一個惡意的pod，以啟動采礦活動。

同時，DaemonSet的YAML文件被安排運行一個Docker鏡像，其中包含一個 "暫停 "二進制文件，這實際上是Dero幣的礦工。

該公司指出：在合法的Kubernetes部署中，pause容器被Kubernetes用來啟動一個pod。攻擊者可能使用相同的名字來混入，以避免常規的檢測。

這家網絡安全公司說，它發現了一個平行的Monero挖礦活動，也針對暴露的Kubernetes集群，試圖刪除與Dero活動相關的現有 "proxy-api "DaemonSet。

這表明加密劫持團體之間正在進行角力，他們爭奪云資源，以獲取并保留對機器的控制權，并消耗其所有資源。這兩個活動都在試圖尋找未被發現的Kubernetes攻擊面，并正在進行爭奪。