RBAC на Kubernetes и в мащабна кампания за добив на криптовалута

Мащабна кампания за атаки  използва контрола на достъпа, базиран на ролите (RBAC) в Kubernetes (K8s), за създаване на задни вратички и стартиране на мини за криптовалута.

„Нападателите също така са внедрили DaemonSets, за да превземат и отвличат ресурсите на атакуваните от тях клъстери K8s“, се казва в доклад на фирмата за облачна сигурност Aqua, споделен с The Hacker News. Израелската компания, която е нарекла атаката RBAC Buster, заяви, че е открила 60 изложени на риск клъстери K8s, които са били използвани отбандата, стояща зад тази кампания.

Веригата от атаки е започнала с получаването на първоначален достъп от нападателя чрез неправилно конфигуриран API сървър, последвано от проверка за доказателства за наличие на конкурентен зловреден софтуер за добив на крипто на компрометирания сървър и след това използване на RBAC за установяване на устойчивост.

„Атакуващият е създал нова ClusterRole с почти администраторски привилегии“, заявиха от компанията. „След това  „ServiceAccount“, „kube-controller“ в пространството от имена „kube-system“. И накрая –  ‘ClusterRoleBinding’, свързвайки ClusterRole с ServiceAccount, за да създаде силна и незабележима устойчивост.“

При проникването, наблюдавано срещу нейните  K8s, нападателят се е опитал да използва изложените ключове за достъп до AWS, за да получи трайна опора в средата, да открадне данни и да избяга от пределите на клъстера.

Последната стъпка от атаката включваше създаване на DaemonSet за разгръщане на образ на контейнер, хостван в Docker („kuberntesio/kube-controller:1.0.1“), на всички възли. Контейнерът, който е бил изтеглен 14 399 пъти от качването му преди пет месеца, приютява миньор за криптовалута.

„Имиджът на контейнера с име ‘kuberntesio/kube-controller’ е случай на typosquatting, който се представя за легитимния акаунт ‘kubernetesio'“, заявиха от Aqua. „Имиджът имитира и популярния контейнерен имидж ‘kube-controller-manager’, който е критичен компонент на равнината на управление, работещ в рамките на Pod на всеки главен възел, отговорен за откриването и реагирането на откази на възли.“

Интересно е, че някои от тактиките, описани в кампанията, имат сходство с друга незаконна операция за добив на криптовалути, която също се е възползвала от DaemonSets, за да добива Dero и Monero. Към момента не е ясно дали двете групи атаки са свързани.

Източник: The Hacker News

Подобни публикации

Глобиха Amazon с 30 млн. долара заради домофона...

Amazon ще плати 30 млн. долара глоби за уреждане на обвиненията в н...
1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
Бъдете социални
Още по темата
21/05/2023

Руснаците могат да избегнат...

Канадската агенция за финансово разузнаване предупреждава,...
03/05/2023

ФБР конфискува 9 криптоборс...

ФБР и украинската полиция са конфискували...
12/04/2023

Зловреден софтуер за кражба...

Изследователи в областта на киберсигурността са...
Последно добавени
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!