Мащабна кампания за атаки  използва контрола на достъпа, базиран на ролите (RBAC) в Kubernetes (K8s), за създаване на задни вратички и стартиране на мини за криптовалута.

„Нападателите също така са внедрили DaemonSets, за да превземат и отвличат ресурсите на атакуваните от тях клъстери K8s“, се казва в доклад на фирмата за облачна сигурност Aqua, споделен с The Hacker News. Израелската компания, която е нарекла атаката RBAC Buster, заяви, че е открила 60 изложени на риск клъстери K8s, които са били използвани отбандата, стояща зад тази кампания.

Веригата от атаки е започнала с получаването на първоначален достъп от нападателя чрез неправилно конфигуриран API сървър, последвано от проверка за доказателства за наличие на конкурентен зловреден софтуер за добив на крипто на компрометирания сървър и след това използване на RBAC за установяване на устойчивост.

„Атакуващият е създал нова ClusterRole с почти администраторски привилегии“, заявиха от компанията. „След това  „ServiceAccount“, „kube-controller“ в пространството от имена „kube-system“. И накрая –  ‘ClusterRoleBinding’, свързвайки ClusterRole с ServiceAccount, за да създаде силна и незабележима устойчивост.“

При проникването, наблюдавано срещу нейните  K8s, нападателят се е опитал да използва изложените ключове за достъп до AWS, за да получи трайна опора в средата, да открадне данни и да избяга от пределите на клъстера.

Последната стъпка от атаката включваше създаване на DaemonSet за разгръщане на образ на контейнер, хостван в Docker („kuberntesio/kube-controller:1.0.1“), на всички възли. Контейнерът, който е бил изтеглен 14 399 пъти от качването му преди пет месеца, приютява миньор за криптовалута.

„Имиджът на контейнера с име ‘kuberntesio/kube-controller’ е случай на typosquatting, който се представя за легитимния акаунт ‘kubernetesio'“, заявиха от Aqua. „Имиджът имитира и популярния контейнерен имидж ‘kube-controller-manager’, който е критичен компонент на равнината на управление, работещ в рамките на Pod на всеки главен възел, отговорен за откриването и реагирането на откази на възли.“

Интересно е, че някои от тактиките, описани в кампанията, имат сходство с друга незаконна операция за добив на криптовалути, която също се е възползвала от DaemonSets, за да добива Dero и Monero. Към момента не е ясно дали двете групи атаки са свързани.

Източник: The Hacker News

Подобни публикации

19 януари 2025

Нарушението на данните на Wolf Haldenstein зася...

Адвокатската кантора Wolf Haldenstein Adler Freeman & Herz LLP ...
19 януари 2025

САЩ призовават за преодоляване на разликата в р...

Агенцията за киберсигурност CISA и други правителствени агенции при...
19 януари 2025

САЩ наложиха санкции за масираната хакерска ата...

Министерството на финансите обяви в петък санкции във връзка с маща...
19 януари 2025

Фалшивият Брад Пит е разкрит: как етичен хакер ...

Маруан Уараб, бивш измамник и киберпрестъпник, превърнал се в етиче...
18 януари 2025

FTC нарежда на GoDaddy да коригира неадекватнит...

След като установи, че политиките за сигурност на GoDaddy са недост...
17 януари 2025

SSO - опростете достъпа и защитете бизнеса си

Днес предприятията са изправени пред сложна работна среда, в която ...
17 януари 2025

Руски кибершпиони са хванати да извършват Spear...

Изследователи на Microsoft са разкрили, че руски разузнавателни аге...
17 януари 2025

Cisco представи AI Defense

Тази седмица Cisco представи AI Defense – ново решение, предн...
17 януари 2025

DORA: Провеждане на тестове за проникване, осно...

Международният валутен фонд изчислява, че през последните две десет...
Бъдете социални
Още по темата
13/01/2025

Съдят пастор за криптоизмама

На пастор от църква в Паско,...
05/01/2025

Измамници "отводниха" 300 0...

Миналата година измамниците откраднаха криптовалута на...
23/12/2024

Kорейски хакери са открадна...

Според нов доклад на компанията за...
Последно добавени
19/01/2025

Нарушението на данните на W...

Адвокатската кантора Wolf Haldenstein Adler Freeman...
19/01/2025

САЩ призовават за преодоляв...

Агенцията за киберсигурност CISA и други...
19/01/2025

САЩ наложиха санкции за мас...

Министерството на финансите обяви в петък...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!