MKD-CIRT National Centre for Computer Incident Response
Кампањата за напади од големи размери, ја искористува Kubernetes (K8s) Role Based Access Control (RBAC) за да создаде backdoors и да ископува криптовалути.
„Напаѓачите, исто така, распоредија DaemonSets за да ги преземат и крадат ресурсите на K8 кластерите што ги напаѓаат“, стои во извештајот на cloud security фирмата Aqua споделен со The Hacker News. Израелската компанија, која го нарече нападот RBAC Buster, изјави дека пронашла 60 изложени K8 кластери кои биле експлоатирани од страна на напаѓачот зад оваа кампања.
Синџирот на напади започна со тоа што напаѓачот доби првичен пристап преку погрешно конфигуриран API-сервер, проследено со проверка за докази за конкурентен малициозен софтвер на компромитиран сервер.
„Напаѓачот создаде нов ClusterRole со привилегии речиси на ниво на администратор“, соопшти компанијата. „Следно, напаѓачот создаде „ServiceAccount“, „kube-controller“ во именскиот простор „kube-system“. На крајот, напаѓачот создаде „ClusterRoleBinding“, врзувајќи го ClusterRole со ServiceAccount“.
Во упадот забележан во неговите K8 кластери, напаѓачот се обидел да ги хакира намерно изложените AWS клучеви за пристап за да добие вкоренета основа во околината, да украде податоци и да избега од границите на кластерот.
Последниот чекор од нападот вклучуваше напаѓачот да создаде DaemonSet за да распореди слика од контејнер хостирана на Docker (“kuberntesio/kube-controller:1.0.1”) на сите јазли.
„Сликата од контејнерот именувана како „kuberntesio/kube-controller“ е случај што претставува легитимна сметка „kubernetesio““, изјави Aqua. „Сликата, исто така, ја имитира популарната слика на контејнер „kube-controller-manager“, која е критична компонента на контролната рамнина, која работи во Pod на секој главен јазол, одговорен за откривање и реагирање на дефекти на јазлите.
Интересно е што некои од тактиките опишани во кампањата имаат сличности со друга незаконска операција за ископување криптовалути, која исто така ги искористи предностите на DaemonSets за да копа Dero и Monero. Во моментов не е јасно дали двете групи на напади се поврзани.
Извор: TheHackerNews
