Kubernetes RBAC explorado em larga escala por campanha de malware que minera criptomoeda
2
0
Uma ataque em larga escala identificado tem explorado o controle de acesso baseado em função (RBAC) do Kubernetes (K8s) para criar backdoors e executar mineradores de criptomoedas. “Os invasores também implantaram DaemonSets para assumir e sequestrar recursos dos clusters K8s que eles atacam”, disse a empresa de segurança em nuvem Aqua em um relatório compartilhado.
A empresa israelense, que apelidou o ataque de RBAC Buster, disse que encontrou 60 clusters K8s expostos que foram explorados pelos operadores da ameaça por trás desta campanha. A cadeia de ataque começou com o invasor obtendo acesso inicial por meio de um servidor API mal configurado, seguido pela verificação de evidências de malware mineiro concorrente no servidor comprometido e, em seguida, usando o RBAC para configurar a persistência. “O invasor criou um novo ClusterRole com privilégios próximos ao nível de administrador”, disse a empresa. “Em seguida, o invasor criou um ‘ServiceAccount’, ‘kube-controller’ no namespace ‘kube-system'”. Na invasão observada contra seus honeypots K8s, o invasor tentou armar as chaves de acesso expostas da AWS para obter uma posição entrincheirada no ambiente, roubar dados e escapar dos limites do cluster.
A etapa final do ataque cria um DaemonSet para implantar uma imagem de contêiner hospedada no Docker (“kuberntesio/kube-controller:1.0.1”) em todos os nós. O contêiner, que foi puxado 14.399 vezes desde seu upload há cinco meses, abriga um minerador de criptomoedas. “A imagem do contêiner chamada ‘kuberntesio/kube-controller’ é um caso de erro de digitação que personifica a conta legítima do ‘kubernetesio'”, disse Aqua. “A imagem também imita a popular imagem de contêiner ‘kube-controller-manager’, que é um componente crítico do plano de controle, executado em um pod em cada nó mestre, responsável por detectar e responder a falhas de nó”. Curiosamente, algumas das táticas descritas na campanha têm semelhanças com outra operação ilícita de mineração de criptomoedas que também aproveitou DaemonSets para cunhar Dero e Monero. Atualmente não está claro se os dois conjuntos de ataques estão relacionados.
Protected by WP Anti-Hacker