Ngày 21 tháng 4 năm 2023Ravie LakshmananKubernetes / Tiền điện tử
Một chiến dịch tấn công quy mô lớn được phát hiện trong tự nhiên đã khai thác Kubernetes (K8s) Kiểm soát truy cập dựa trên vai trò (RBAC) để tạo cửa hậu và chạy các công cụ khai thác tiền điện tử.
Công ty bảo mật đám mây Aqua cho biết trong một báo cáo được chia sẻ với The Hacker News: “Những kẻ tấn công cũng đã triển khai DaemonSets để chiếm đoạt và chiếm quyền điều khiển tài nguyên của các cụm K8 mà chúng tấn công”. Công ty Israel, được mệnh danh là cuộc tấn công RBAC Bustercho biết họ đã tìm thấy 60 cụm K8 bị lộ đã bị khai thác bởi kẻ đe dọa đằng sau chiến dịch này.
Chuỗi tấn công bắt đầu với việc kẻ tấn công giành được quyền truy cập ban đầu thông qua máy chủ API bị định cấu hình sai, sau đó kiểm tra bằng chứng về phần mềm độc hại khai thác cạnh tranh trên máy chủ bị xâm nhập và sau đó sử dụng RBAC để thiết lập tính bền vững.
Công ty cho biết: “Kẻ tấn công đã tạo một ClusterRole mới với các đặc quyền gần cấp quản trị viên. “Tiếp theo, kẻ tấn công đã tạo ‘ServiceAccount', ‘kube-controller' trong không gian tên ‘kube-system'. Cuối cùng, kẻ tấn công đã tạo một ‘ClusterRoleBinding', liên kết ClusterRole với ServiceAccount để tạo ra sự bền bỉ mạnh mẽ và kín đáo.”
Trong vụ xâm nhập được quan sát đối với các honeypots K8 của nó, kẻ tấn công đã cố gắng vũ khí hóa các khóa truy cập AWS bị lộ để có được chỗ đứng vững chắc trong môi trường, đánh cắp dữ liệu và thoát khỏi giới hạn của cụm.
Bước cuối cùng của cuộc tấn công đòi hỏi tác nhân đe dọa tạo DaemonSet để triển khai hình ảnh bộ chứa được lưu trữ trên Docker (“kuberntesio/kube-controller:1.0.1”) trên tất cả các nút. Vùng chứa, đã được kéo 14.399 lần kể từ khi tải lên cách đây 5 tháng, chứa một công cụ khai thác tiền điện tử.
“Hình ảnh vùng chứa có tên ‘kuberntesio/kube-controller' là một trường hợp đánh máy mạo danh tài khoản ‘kubernetesio' hợp pháp,” Aqua nói. “Hình ảnh này cũng bắt chước hình ảnh vùng chứa ‘kube-controller-manager' phổ biến, là một thành phần quan trọng của mặt phẳng điều khiển, chạy trong một Pod trên mọi nút chính, chịu trách nhiệm phát hiện và ứng phó với lỗi nút.”
Thật thú vị, một số chiến thuật được mô tả trong chiến dịch có những điểm tương đồng với một hoạt động khai thác tiền điện tử bất hợp pháp khác cũng lợi dụng DaemonSets để đúc Dero và Monero. Hiện vẫn chưa rõ liệu hai đợt tấn công có liên quan với nhau hay không.