Eine neue Kryptojacking-Kampagne wurde aufgedeckt, die auf verwundbare Docker- und Kubernetes-Infrastrukturen abzielt, um Kryptowährung illegal zu schürfen.
Das Cybersicherheitsunternehmen CrowdStrike nannte die Aktivität Kiss-a-dog, wobei sich die Befehls- und Kontrollinfrastruktur mit der anderer Gruppen wie TeamTNT überschneidet, die dafür bekannt sind, dass sie falsch konfigurierte Docker- und Kubernetes-Instanzen angreifen.
Die Eindringlinge, die im September 2022 entdeckt wurden, haben ihren Namen von einer Domain namens „kiss.a-dog[.]top“, die verwendet wird, um mit einem Base64-kodierten Python-Befehl eine Shell-Skript-Nutzlast auf dem kompromittierten Container auszulösen.
„Die in der Nutzlast verwendete URL wird mit Backslashes verschleiert, um die automatische Dekodierung und den Regex-Abgleich zur Ermittlung der bösartigen Domain zu umgehen“, so CrowdStrike-Forscher Manoj Ahuje in einer technischen Analyse.
Die Angriffskette versucht anschließend, aus dem Container zu entkommen und sich seitlich in das angegriffene Netzwerk zu bewegen, während sie gleichzeitig Schritte unternimmt, um die Cloud-Überwachungsdienste zu beenden und zu entfernen.
Als zusätzliche Methoden, um der Entdeckung zu entgehen, nutzt die Kampagne die Rootkits Diamorphine und libprocesshide, um bösartige Prozesse vor dem Benutzer zu verbergen. Letzteres wird als Shared Library kompiliert und sein Pfad wird als Wert für die Umgebungsvariable LD_PRELOAD festgelegt.
„Dies ermöglicht es den Angreifern, bösartige Shared Libraries in jeden Prozess einzuschleusen, der in einem kompromittierten Container gestartet wird“, so Ahuje.
Das ultimative Ziel der Kampagne ist das heimliche Mining von Kryptowährungen mit der XMRig Mining Software sowie das Einschleusen von Redis und Docker-Instanzen für Mining und andere Folgeangriffe.
„Da die Preise für Kryptowährungen gesunken sind, wurden diese Kampagnen in den letzten Monaten gedämpft, bis im Oktober mehrere Kampagnen gestartet wurden, um das niedrige Wettbewerbsumfeld auszunutzen“, so Ahuje.
Die Erkenntnisse kommen auch daher, dass Forscher von Sysdig eine weitere ausgeklügelte Krypto-Mining-Operation mit dem Namen PURPLEURCHIN aufgedeckt haben, bei der die für kostenlose Testkonten bei GitHub, Heroku und Buddy[.]Works bereitgestellten Rechenkapazitäten genutzt werden, um die Angriffe auszuweiten.
Bis zu 30 GitHub-Konten, 2.000 Heroku-Konten und 900 Buddy-Konten sollen für die automatisierte Freejacking-Kampagne genutzt worden sein.
Bei dem Angriff wird ein von einem Akteur kontrollierter GitHub-Account erstellt, der jeweils ein Repository enthält, das wiederum eine GitHub-Action hat, um Mining-Operationen durchzuführen, indem ein Docker Hub-Image gestartet wird.
„Die Verwendung von kostenlosen Konten verlagert die Kosten für den Betrieb der Kryptominer auf den Dienstanbieter“, so die Forscher. „Wie bei vielen Betrugsfällen kann der Missbrauch von kostenlosen Konten jedoch auch andere betreffen. Höhere Kosten für den Anbieter führen zu höheren Preisen für seine rechtmäßigen Kunden.“