Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Злоумышленники соревнуются между собой за криптовалюту в Kubernetes

24/04/23

blogposts-kub

Специалисты ИБ-компании Aqua обнаружили крупномасштабную кампанию, в которой злоумышленники используют политику управления доступом на основе ролей (Role Based Access Control, RBAC) Kubernetes для создания бэкдоров и запуска майнеров криптовалюты. Об этом пишет Securitylab.

По словам экспертов, злоумышленники также развернули DaemonSets, чтобы захватить ресурсы целевых кластеров Kubernetes. Было обнаружено 60 незащищенных кластеров, используемых хакерами.

Цепочка атак, которая получила название «RBAC Buster», началась с того, что злоумышленник получил первоначальный доступ через неправильно настроенный API-сервер, после чего проверил наличие конкурирующих майнеров на скомпрометированном сервере, а затем использовал RBAC для установления постоянства.

Злоумышленник создал:

  • объект «ClusterRole» (описывает права на объекты во всём кластере) с привилегиями уровня администратора;
  • аккаунт «ServiceAccount» (предназначен для управления правами доступа к Kubernetes API процессов) и демон «kube-controller» в пространстве имен «kube-system»;
  • привязку «ClusterRoleBinding» (открывает доступ к сущностям кластера), привязав «ClusterRole» к «ServiceAccount», чтобы надежно и незаметно закрепиться в системе.

Во время вторжения злоумышленник попытался использовать открытые ключи доступа AWS в качестве оружия, чтобы закрепиться в среде, украсть данные и выйти за пределы кластера.

На последнем этапе атаки злоумышленник создал DaemonSet для развертывания образа контейнера, размещенного в Docker ("kuberntesio/kube-controller:1.0.1"), на всех узлах. Контейнер, который был загружен 14 399 раз с момента его загрузки 5 месяцев назад, содержит криптомайнер.

«Образ контейнера «kubernetesio/kube-controller» — это пример тайпсквоттинга (Typesquatting), который позволяет выдавать себя за законную учетную запись «kubernetesio». Образ также имитирует популярный образ контейнера «kube-controller-manager», который является критически важным компонентом плоскости управления, работающим в поде на каждом главном узле и отвечающим за обнаружение сбоев узлов и реагирование на них.

Интересно, что некоторые тактики атак имеют сходство с другой криптоджекинговой кампанией , в которой также использовались DaemonSets для добычи монеты Dero. В настоящее время неясно, связаны ли эти две кампании.

Темы:криптовалютыУгрозыAqua SecurityKubernetes
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...