Търсене
Close this search box.

RBAC на Kubernetes и в мащабна кампания за добив на криптовалута

Мащабна кампания за атаки  използва контрола на достъпа, базиран на ролите (RBAC) в Kubernetes (K8s), за създаване на задни вратички и стартиране на мини за криптовалута.

„Нападателите също така са внедрили DaemonSets, за да превземат и отвличат ресурсите на атакуваните от тях клъстери K8s“, се казва в доклад на фирмата за облачна сигурност Aqua, споделен с The Hacker News. Израелската компания, която е нарекла атаката RBAC Buster, заяви, че е открила 60 изложени на риск клъстери K8s, които са били използвани отбандата, стояща зад тази кампания.

Веригата от атаки е започнала с получаването на първоначален достъп от нападателя чрез неправилно конфигуриран API сървър, последвано от проверка за доказателства за наличие на конкурентен зловреден софтуер за добив на крипто на компрометирания сървър и след това използване на RBAC за установяване на устойчивост.

„Атакуващият е създал нова ClusterRole с почти администраторски привилегии“, заявиха от компанията. „След това  „ServiceAccount“, „kube-controller“ в пространството от имена „kube-system“. И накрая –  ‘ClusterRoleBinding’, свързвайки ClusterRole с ServiceAccount, за да създаде силна и незабележима устойчивост.“

При проникването, наблюдавано срещу нейните  K8s, нападателят се е опитал да използва изложените ключове за достъп до AWS, за да получи трайна опора в средата, да открадне данни и да избяга от пределите на клъстера.

Последната стъпка от атаката включваше създаване на DaemonSet за разгръщане на образ на контейнер, хостван в Docker („kuberntesio/kube-controller:1.0.1“), на всички възли. Контейнерът, който е бил изтеглен 14 399 пъти от качването му преди пет месеца, приютява миньор за криптовалута.

„Имиджът на контейнера с име ‘kuberntesio/kube-controller’ е случай на typosquatting, който се представя за легитимния акаунт ‘kubernetesio'“, заявиха от Aqua. „Имиджът имитира и популярния контейнерен имидж ‘kube-controller-manager’, който е критичен компонент на равнината на управление, работещ в рамките на Pod на всеки главен възел, отговорен за откриването и реагирането на откази на възли.“

Интересно е, че някои от тактиките, описани в кампанията, имат сходство с друга незаконна операция за добив на криптовалути, която също се е възползвала от DaemonSets, за да добива Dero и Monero. Към момента не е ясно дали двете групи атаки са свързани.

Източник: The Hacker News

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
28 май 2024

Хакерите се насочват към VPN мрежите на Check P...

Заплахите се насочват към VPN устройствата за отдалечен достъп на C...
Бъдете социални
Още по темата
20/05/2024

Китайци са арестувани за пр...

Министерството на правосъдието на САЩ повдигна...
08/05/2024

Руският оператор на криптоо...

Руски оператор на вече ликвидираната борса...
25/04/2024

САЩ обвиняват основателите ...

Министерството на правосъдието на САЩ повдигна...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!