Мащабна кампания за атаки използва контрола на достъпа, базиран на ролите (RBAC) в Kubernetes (K8s), за създаване на задни вратички и стартиране на мини за криптовалута.
„Нападателите също така са внедрили DaemonSets, за да превземат и отвличат ресурсите на атакуваните от тях клъстери K8s“, се казва в доклад на фирмата за облачна сигурност Aqua, споделен с The Hacker News. Израелската компания, която е нарекла атаката RBAC Buster, заяви, че е открила 60 изложени на риск клъстери K8s, които са били използвани отбандата, стояща зад тази кампания.
Веригата от атаки е започнала с получаването на първоначален достъп от нападателя чрез неправилно конфигуриран API сървър, последвано от проверка за доказателства за наличие на конкурентен зловреден софтуер за добив на крипто на компрометирания сървър и след това използване на RBAC за установяване на устойчивост.
„Атакуващият е създал нова ClusterRole с почти администраторски привилегии“, заявиха от компанията. „След това „ServiceAccount“, „kube-controller“ в пространството от имена „kube-system“. И накрая – ‘ClusterRoleBinding’, свързвайки ClusterRole с ServiceAccount, за да създаде силна и незабележима устойчивост.“
При проникването, наблюдавано срещу нейните K8s, нападателят се е опитал да използва изложените ключове за достъп до AWS, за да получи трайна опора в средата, да открадне данни и да избяга от пределите на клъстера.
Последната стъпка от атаката включваше създаване на DaemonSet за разгръщане на образ на контейнер, хостван в Docker („kuberntesio/kube-controller:1.0.1“), на всички възли. Контейнерът, който е бил изтеглен 14 399 пъти от качването му преди пет месеца, приютява миньор за криптовалута.
„Имиджът на контейнера с име ‘kuberntesio/kube-controller’ е случай на typosquatting, който се представя за легитимния акаунт ‘kubernetesio'“, заявиха от Aqua. „Имиджът имитира и популярния контейнерен имидж ‘kube-controller-manager’, който е критичен компонент на равнината на управление, работещ в рамките на Pod на всеки главен възел, отговорен за откриването и реагирането на откази на възли.“
Интересно е, че някои от тактиките, описани в кампанията, имат сходство с друга незаконна операция за добив на криптовалути, която също се е възползвала от DaemonSets, за да добива Dero и Monero. Към момента не е ясно дали двете групи атаки са свързани.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.