Kubernetes RBAC explotado a gran escala para la minería de criptomonedas

Una campaña de ataque a gran escala descubierta en la naturaleza ha estado explotando el control de acceso basado en roles (RBAC) de Kubernetes (K8s) para crear puertas traseras y ejecutar mineros de criptomonedas.

"Los atacantes también desplegaron DaemonSets para hacerse cargo y secuestrar los recursos de los clústeres K8s que atacan", dijo la firma de seguridad en la nube Aqua en un informe compartido con The Hacker News. La compañía israelí, que denominó el ataque RBAC Buster, dijo que encontró 60 grupos K8 expuestos que han sido explotados por el actor de amenazas detrás de esta campaña.

La cadena de ataque comenzó con el atacante obteniendo acceso inicial a través de un servidor API mal configurado, seguido de la verificación de evidencia de malware minero competidor en el servidor comprometido y luego usando RBAC para configurar la persistencia.

"El atacante creó un nuevo ClusterRole con privilegios casi de nivel de administrador", dijo la compañía. "A continuación, el atacante creó un 'ServiceAccount', 'kube-controller' en el espacio de nombres 'kube-system'. Por último, el atacante creó un 'ClusterRoleBinding', vinculando el ClusterRole con ServiceAccount para crear una persistencia fuerte y discreta.

En la intrusión observada contra sus honeypots K8s, el atacante intentó convertir en arma las claves de acceso de AWS expuestas para obtener un punto de apoyo arraigado en el entorno, robar datos y escapar de los confines del clúster.


El paso final del ataque implicó que el actor de amenazas creara un DaemonSet para implementar una imagen de contenedor alojada en Docker ("kuberntesio / kube-controller: 1.0.1") en todos los nodos. El contenedor, que ha sido retirado 14.399 veces desde su carga hace cinco meses, alberga un minero de criptomonedas.

"La imagen del contenedor llamada 'kuberntesio / kube-controller' es un caso de typosquatting que se hace pasar por la cuenta legítima de 'kubernetesio'", dijo Aqua. "La imagen también imita la popular imagen de contenedor 'kube-controlador-gerente', que es un componente crítico del plano de control, que se ejecuta dentro de un Pod en cada nodo maestro, responsable de detectar y responder a las fallas del nodo".

Curiosamente, algunas de las tácticas descritas en la campaña tienen similitudes con otra operación minera ilícita de criptomonedas que también aprovechó DaemonSets para acuñar Dero y Monero. Actualmente no está claro si los dos conjuntos de ataques están relacionados.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta