Мащабна кампания за атаки  използва контрола на достъпа, базиран на ролите (RBAC) в Kubernetes (K8s), за създаване на задни вратички и стартиране на мини за криптовалута.

„Нападателите също така са внедрили DaemonSets, за да превземат и отвличат ресурсите на атакуваните от тях клъстери K8s“, се казва в доклад на фирмата за облачна сигурност Aqua, споделен с The Hacker News. Израелската компания, която е нарекла атаката RBAC Buster, заяви, че е открила 60 изложени на риск клъстери K8s, които са били използвани отбандата, стояща зад тази кампания.

Веригата от атаки е започнала с получаването на първоначален достъп от нападателя чрез неправилно конфигуриран API сървър, последвано от проверка за доказателства за наличие на конкурентен зловреден софтуер за добив на крипто на компрометирания сървър и след това използване на RBAC за установяване на устойчивост.

„Атакуващият е създал нова ClusterRole с почти администраторски привилегии“, заявиха от компанията. „След това  „ServiceAccount“, „kube-controller“ в пространството от имена „kube-system“. И накрая –  ‘ClusterRoleBinding’, свързвайки ClusterRole с ServiceAccount, за да създаде силна и незабележима устойчивост.“

При проникването, наблюдавано срещу нейните  K8s, нападателят се е опитал да използва изложените ключове за достъп до AWS, за да получи трайна опора в средата, да открадне данни и да избяга от пределите на клъстера.

Последната стъпка от атаката включваше създаване на DaemonSet за разгръщане на образ на контейнер, хостван в Docker („kuberntesio/kube-controller:1.0.1“), на всички възли. Контейнерът, който е бил изтеглен 14 399 пъти от качването му преди пет месеца, приютява миньор за криптовалута.

„Имиджът на контейнера с име ‘kuberntesio/kube-controller’ е случай на typosquatting, който се представя за легитимния акаунт ‘kubernetesio'“, заявиха от Aqua. „Имиджът имитира и популярния контейнерен имидж ‘kube-controller-manager’, който е критичен компонент на равнината на управление, работещ в рамките на Pod на всеки главен възел, отговорен за откриването и реагирането на откази на възли.“

Интересно е, че някои от тактиките, описани в кампанията, имат сходство с друга незаконна операция за добив на криптовалути, която също се е възползвала от DaemonSets, за да добива Dero и Monero. Към момента не е ясно дали двете групи атаки са свързани.

Източник: The Hacker News

Подобни публикации

23 април 2025

Азиатски престъпни мрежи разширяват дейността с...

Престъпни синдикати от Източна и Югоизточна Азия пренасят доходонос...
22 април 2025

3дравни организации станаха жертва на мащабни п...

Две здравни организации в САЩ потвърдиха, че са станали обект на се...
22 април 2025

Културата – почвата на киберсигурността, а не о...

Когато става въпрос за киберсигурност, хората често си представят с...
22 април 2025

Microsoft извършва най-мащабната реформа в кибе...

Microsoft обяви, че е завършила „най-големия проект за инжене...
22 април 2025

Севернокорейски хакери използват Zoom за кражба...

Севернокорейски киберпрестъпници са усъвършенствали тактиките си за...
22 април 2025

Exaforce с амбиция да преосмисли SOC: 75 милион...

Сан Франсиско се превръща във все по-важен хъб за иновации в киберс...
Бъдете социални
Още по темата
22/04/2025

Севернокорейски хакери изпо...

Севернокорейски киберпрестъпници са усъвършенствали тактиките си...
14/04/2025

Злонамерени NPMnпакети са ...

3аплахи публикуват зловредни пакети NPM, за...
08/04/2025

Доставчиците на масови имей...

Нова фишинг кампания атакува доставчиците на...
Последно добавени
23/04/2025

Азиатски престъпни мрежи ра...

Престъпни синдикати от Източна и Югоизточна...
22/04/2025

3дравни организации станаха...

Две здравни организации в САЩ потвърдиха,...
22/04/2025

Културата – почвата на кибе...

Когато става въпрос за киберсигурност, хората...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!