Uma campanha de ataque em grande escala descoberta tem explorado o Controle de Acesso Baseado em Função (RBAC) do Kubernetes (K8s) para criar backdoors e executar mineradores de criptomoedas.
"Os atacantes também implantaram DaemonSets para assumir e sequestrar recursos dos clusters K8s que atacam", disse a empresa de segurança em nuvem Aqua em um relatório compartilhado com o The Hacker News.
A empresa israelense, que chamou o ataque de RBAC Buster, disse ter encontrado 60 clusters K8s expostos que foram explorados pelo agente de ameaça por trás dessa campanha.
A cadeia de ataque começou com o invasor ganhando acesso inicial por meio de um servidor de API mal configurado, seguido pela verificação de evidências de malware de minerador concorrente no servidor comprometido e, em seguida, usando RBAC para configurar a persistência.
"O atacante criou um novo ClusterRole com privilégios próximos aos do administrador", disse a empresa.
"Em seguida, o atacante criou uma 'Conta de Serviço', 'kube-controller' no namespace 'kube-system'.
Por fim, o atacante criou um 'ClusterRoleBinding', vinculando o ClusterRole com a Conta de Serviço para criar uma persistência forte e imperceptível".
Na intrusão observada contra seus honeypots K8s, o invasor tentou transformar as chaves de acesso da AWS expostas em uma posição segura no ambiente, roubar dados e escapar dos limites do cluster.
O último passo do ataque consistiu no agente de ameaça criar um DaemonSet para implantar uma imagem de contêiner hospedada no Docker ("kuberntesio/kube-controller: 1.0.1") em todos os nós.
O contêiner, que foi baixado 14.399 vezes desde o upload feito há cinco meses, abriga um minerador de criptomoedas.
Curiosamente, algumas das táticas descritas na campanha apresentam semelhanças com outra operação ilícita de mineração de criptomoedas que também aproveitou os DaemonSets para cunhar Dero e Monero.
Atualmente, não está claro se os dois conjuntos de ataques estão relacionados.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...