Vahşi doğada keşfedilen büyük ölçekli bir saldırı kampanyası, arka kapılar oluşturmak ve kripto para madencilerini çalıştırmak için Kubernetes (K8s) Rol Tabanlı Erişim Kontrolünü (RBAC) kullanıyor.
The Hacker News ile paylaşılan bir raporda, “Saldırganlar, saldırdıkları K8 kümelerinin kaynaklarını ele geçirmek ve ele geçirmek için DaemonSets’i de konuşlandırdılar” dedi. Saldırıyı ihbar eden İsrailli şirket RBAC Engelleyicibu kampanyanın arkasındaki tehdit aktörü tarafından sömürülen 60 açığa çıkmış K8 kümesi bulduğunu söyledi.
Saldırı zinciri, saldırganın yanlış yapılandırılmış bir API sunucusu aracılığıyla ilk erişimi elde etmesiyle başladı, ardından güvenliği ihlal edilmiş sunucuda rakip madenci kötü amaçlı yazılımlarının kanıtlarını kontrol etti ve ardından kalıcılığı ayarlamak için RBAC’ı kullandı.
Şirket, “Saldırgan, yönetici düzeyine yakın ayrıcalıklara sahip yeni bir ClusterRole oluşturdu” dedi. “Sonra, saldırgan ‘kube-system’ ad alanında bir ‘ServiceAccount’, ‘kube-denetleyici’ oluşturdu. Son olarak, saldırgan, güçlü ve göze çarpmayan bir kalıcılık oluşturmak için ClusterRole’u ServiceAccount’a bağlayan bir ‘ClusterRoleBinding’ oluşturdu.”
K8s bal küplerinde gözlemlenen izinsiz girişte, saldırgan ortama sağlam bir dayanak sağlamak, verileri çalmak ve kümenin sınırlarından kaçmak için açığa çıkan AWS erişim anahtarlarını silahlandırmaya çalıştı.
Saldırının son adımı, tehdit aktörünün Docker’da (“kuberntesio/kube-controller:1.0.1”) barındırılan bir kapsayıcı görüntüsünü tüm düğümlerde konuşlandırmak için bir DaemonSet oluşturmasını gerektirdi. Beş ay önce yüklenmesinden bu yana 14.399 kez çekilen konteyner, bir kripto para madencisini barındırıyor.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Aqua, “‘kuberntesio/kube-controller’ adlı konteyner görüntüsü, yasal ‘kubernetesio’ hesabını taklit eden bir yazım hatası durumudur” dedi. “Görüntü ayrıca, kontrol düzleminin kritik bir bileşeni olan, her ana düğümde bir Bölme içinde çalışan, düğüm hatalarını algılamaktan ve bunlara yanıt vermekten sorumlu olan popüler ‘kube-denetleyici-yönetici’ kapsayıcı görüntüsünü taklit ediyor.”
İlginç bir şekilde, kampanyada açıklanan taktiklerden bazıları, Dero ve Monero’yu basmak için DaemonSets’ten yararlanan başka bir yasadışı kripto para madenciliği operasyonuyla benzerlikler taşıyor. Şu anda iki saldırı setinin birbiriyle ilişkili olup olmadığı net değil.