یک کمپین حمله در مقیاس بزرگ که در طبیعت کشف شده است از Kubernetes (K8s) Role-Based Access Control (RBAC) برای ایجاد درهای پشتی و اجرای ماینرهای ارزهای دیجیتال استفاده می کند.
شرکت امنیت ابری Aqua در گزارشی که با The Hacker News به اشتراک گذاشته شد، گفت: مهاجمان همچنین DaemonSets را برای تصاحب و ربودن منابع خوشههای K8s که به آنها حمله میکنند، مستقر کردند. شرکت اسرائیلی که این حمله را RBAC Buster نامید، گفت ۶۰ خوشه K8s در معرض دید را پیدا کرده است که توسط عامل تهدید در پشت این کمپین مورد سوء استفاده قرار گرفته است.
زنجیره حمله با دسترسی اولیه مهاجم از طریق یک سرور API با پیکربندی نادرست آغاز شد، به دنبال آن شواهدی از بدافزار ماینر رقیب در سرور در معرض خطر را بررسی کرد و سپس از RBAC برای تنظیم پایداری استفاده کرد.
این شرکت گفت: «مهاجم، یک ClusterRol جدید با امتیازات تقریباً در سطح مدیریت ایجاد کرد. “بعد مهاجم، یک “ServiceAccount”، “kube-controller” در فضای نام “kube-system” ایجاد کرد. در نهایت، مهاجم، یک “ClusterRoleBinding” ایجاد کرد و ClusterRole را با ServiceAccount متصل کرد تا یک پایداری قوی و نامحسوس ایجاد کند.”
در نفوذ مشاهده شده بر روی هانی پات های K8s خود، مهاجم تلاش کرد تا کلیدهای دسترسی AWS در معرض تسلیحات را به دست آورد تا جای پایی محکم در محیط به دست آورد، داده ها را بدزدد و از محدوده خوشه فرار کند.
مرحله آخر حمله مستلزم ایجاد یک DaemonSet توسط عامل تهدید برای استقرار یک تصویر کانتینری میزبانی شده در Docker (“kuberntesio/kube-controller:1.0.1”) بر روی همه گره ها بود. این کانتینر که از زمان آپلود آن در پنج ماه پیش ۱۴۳۹۹ بار کشیده شده است، یک ماینر ارز دیجیتال را در خود جای داده است.
آکوا گفت: «تصویر کانتینری با نام «kuberntesio/kube-controller» یک مورد از typosquatting است که جعل هویت حساب قانونی «kubernetesio» است. “تصویر همچنین از تصویر محفظه محبوب “kube-controller-manager” تقلید می کند، که جزء مهمی از صفحه کنترل است که در یک Pod در هر گره اصلی اجرا می شود و مسئول تشخیص و پاسخ به خرابی گره ها است.”
جالب اینجاست که برخی از تاکتیکهای توصیفشده در کمپین شباهتهایی با یکی دیگر از عملیات استخراج غیرقانونی ارزهای دیجیتال دارند که همچنین از DaemonSets برای استخراج Dero و Monero استفاده کرد. در حال حاضر مشخص نیست که آیا این دو مجموعه از حملات مرتبط هستند یا خیر.