Злоумышленники соревнуются между собой за криптовалюту в Kubernetes

Kubernetes майнер криптомайнер kube-controller тайпсквоттинг RBAC DaemonSet
Злоумышленники соревнуются между собой за криптовалюту в Kubernetes
Kubernetes майнер криптомайнер kube-controller тайпсквоттинг RBAC DaemonSet

Хакеры получают привилегии среды для устранения конкурентов.

image

Специалисты ИБ-компании Aqua обнаружили крупномасштабную кампанию , в которой злоумышленники используют политику управления доступом на основе ролей (Role Based Access Control, RBAC) Kubernetes для создания бэкдоров и запуска майнеров криптовалюты.

По словам экспертов, злоумышленники также развернули DaemonSets, чтобы захватить ресурсы целевых кластеров Kubernetes. Было обнаружено 60 незащищенных кластеров, используемых хакерами .

Цепочка атак, которая получила название «RBAC Buster», началась с того, что злоумышленник получил первоначальный доступ через неправильно настроенный API-сервер, после чего проверил наличие конкурирующих майнеров на скомпрометированном сервере, а затем использовал RBAC для установления постоянства.

Злоумышленник создал:

  • объект «ClusterRole» (описывает права на объекты во всём кластере) с привилегиями уровня администратора;
  • аккаунт «ServiceAccount» (предназначен для управления правами доступа к Kubernetes API процессов) и демон «kube-controller» в пространстве имен «kube-system»;
  • привязку «ClusterRoleBinding» (открывает доступ к сущностям кластера), привязав «ClusterRole» к «ServiceAccount», чтобы надежно и незаметно закрепиться в системе.

Во время вторжения злоумышленник попытался использовать открытые ключи доступа AWS в качестве оружия, чтобы закрепиться в среде, украсть данные и выйти за пределы кластера.

Развертывание DaemonSet с образом контейнера «kuberntesio/kube-controller»

На последнем этапе атаки злоумышленник создал DaemonSet для развертывания образа контейнера, размещенного в Docker ("kuberntesio/kube-controller:1.0.1"), на всех узлах. Контейнер, который был загружен 14 399 раз с момента его загрузки 5 месяцев назад, содержит криптомайнер.

«Образ контейнера «kubernetesio/kube-controller» — это пример тайпсквоттинга (Typesquatting), который позволяет выдавать себя за законную учетную запись «kubernetesio». Образ также имитирует популярный образ контейнера «kube-controller-manager», который является критически важным компонентом плоскости управления, работающим в поде на каждом главном узле и отвечающим за обнаружение сбоев узлов и реагирование на них.

Интересно, что некоторые тактики атак имеют сходство с другой криптоджекинговой кампанией , в которой также использовались DaemonSets для добычи монеты Dero. В настоящее время неясно, связаны ли эти две кампании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь