Ngày 09 tháng 1 năm 2023Ravie LakshmananKubernetes / Cryptojacking
Các tác nhân đe dọa đằng sau Kinsing Hoạt động cryptojacking đã bị phát hiện khai thác các máy chủ PostgreSQL bị lộ và bị định cấu hình sai để có quyền truy cập ban đầu vào môi trường Kubernetes.
Sunders Bruskin, nhà nghiên cứu bảo mật tại Microsoft Defender cho Cloud, cho biết trong một báo cáo tuần trước, kỹ thuật véc tơ truy cập ban đầu thứ hai đòi hỏi phải sử dụng các hình ảnh dễ bị tấn công.
Kinsing có một lịch sử lâu đời về việc nhắm mục tiêu các môi trường được chứa, thường tận dụng các cổng API daemon Docker mở được định cấu hình sai cũng như lạm dụng các khai thác mới được tiết lộ để loại bỏ phần mềm khai thác tiền điện tử.
Trước đây, tác nhân đe dọa cũng đã bị phát hiện sử dụng rootkit để che giấu sự hiện diện của nó, ngoài việc chấm dứt và gỡ cài đặt các quy trình và dịch vụ sử dụng nhiều tài nguyên cạnh tranh.
Giờ đây, theo Microsoft, các cấu hình sai trong các máy chủ PostgreSQL đã được tác nhân Kinsing đồng chọn để có được chỗ đứng ban đầu, với việc công ty quan sát thấy “một lượng lớn cụm” bị lây nhiễm theo cách này.
Cấu hình sai liên quan đến cài đặt xác thực tin cậy, cài đặt này có thể bị lạm dụng để kết nối với máy chủ mà không có bất kỳ xác thực nào và thực thi mã nếu tùy chọn được thiết lập để chấp nhận kết nối từ bất kỳ địa chỉ IP nào.
Bruskin giải thích: “Nói chung, việc cho phép truy cập vào nhiều loại địa chỉ IP đang khiến bộ chứa PostgreSQL gặp phải mối đe dọa tiềm ẩn.
Vectơ tấn công thay thế nhắm mục tiêu vào các máy chủ có các phiên bản PHPUnit, Liferay, WebLogic và WordPress dễ bị tổn thương, dễ bị thực thi mã từ xa để chạy các tải trọng độc hại.
Hơn nữa, một “chiến dịch lan rộng” gần đây liên quan đến việc những kẻ tấn công quét tìm cổng WebLogic mặc định mở 7001 và nếu tìm thấy, chúng sẽ thực thi lệnh trình bao để khởi chạy phần mềm độc hại.
Bruskin cho biết: “Việc đưa cụm này lên Internet mà không có các biện pháp bảo mật thích hợp có thể khiến nó bị tấn công từ các nguồn bên ngoài. “Ngoài ra, những kẻ tấn công có thể giành quyền truy cập vào cụm bằng cách tận dụng các lỗ hổng đã biết trong hình ảnh.”
