CrowdStrike在一份新报告中说：新的Dero加密货币开采活动集中定位在Kubernetes集群，该集群在Kubernetes API上启用了匿名访问，并在可从互联网访问的非标准端口上进行监听。

这一发展标志着从Monero的一个明显转变，Monero是此类活动中普遍使用的加密货币。这可能与Dero 提供更大的奖励和更好的匿名功能有关。

这些攻击是由一个不知名的攻击者进行的，首先是扫描Kubernetes集群，认证设置为--anonymous-auth=true，这允许匿名请求服务器，从三个不同的美国IP地址投放初始有效载荷。

这包括部署一个名为 "proxy-api "的Kubernetes DaemonSet，反过来，它被用来在Kubernetes集群的每个节点上投放一个恶意的pod，以启动采矿活动。

同时，DaemonSet的YAML文件被安排运行一个Docker镜像，其中包含一个 "暂停 "二进制文件，这实际上是Dero币的矿工。

该公司指出：在合法的Kubernetes部署中，pause容器被Kubernetes用来启动一个pod。攻击者可能使用相同的名字来混入，以避免常规的检测。

这家网络安全公司说，它发现了一个平行的Monero挖矿活动，也针对暴露的Kubernetes集群，试图删除与Dero活动相关的现有 "proxy-api "DaemonSet。

这表明加密劫持团体之间正在进行角力，他们争夺云资源，以获取并保留对机器的控制权，并消耗其所有资源。这两个活动都在试图寻找未被发现的Kubernetes攻击面，并正在进行争夺。

参考链接：https://thehackernews.com/2023/03/new-cryptojacking-operation-targeting.html