专家发现了有史以来第一个利用Kubernetes RBAC的加密挖矿活动

专家警告利用Kubernetes(K8s)基于角色的访问控制(RBAC)的大规模加密货币挖矿活动。

云安全公司Aqua发现了一个大规模的加密货币挖掘活动，该活动利用Kubernetes (K8s)基于角色的访问控制(RBAC) 创建后门并运行矿工。该活动被追踪为RBAC Buster，专家报告说，这些攻击正在积极针对至少60个野外集群。

“我们最近发现了有史以来第一个证据，表明攻击者正在野外利用Kubernetes (K8s)基于角色的访问控制 (RBAC) 创建后门。”“攻击者还部署了DaemonSets来接管和劫持他们攻击的K8s集群的资源。“

攻击链从通过错误配置的API服务器进行初始访问开始，然后威胁参与者发送一些HTTP请求以列出机密，然后发出两个API请求以通过列出“kube-system”命名空间中的实体来获取有关集群的信息。

攻击者在受感染的服务器上检查竞争矿工恶意软件的证据，并通过使用RBAC设置持久性来实现持久性。

Aqua在设置K8s蜜罐后分析了该活动。研究人员在他们设置的集群的不同位置明确暴露了AWS访问密钥。研究人员注意到，威胁行为者使用访问密钥来尝试进一步访问目标的云服务提供商帐户并获得对更多资源的访问权限。

威胁参与者创建了一个DaemonSet，通过单个API请求在所有节点上部署容器。容器映像“kuberntesio/kube-controller:1.0.1”托管在公共注册表Docker Hub上。

专家发现，该容器自五个月前上传以来被拉取了14,399次。

“名为‘kuberntesio/kube-controller’的容器镜像是一个冒充合法‘kubernetesio’帐户的域名仿冒案例。尽管只有几十个容器镜像，但它已经积累了数百万次拉取。”报告总结道。“该镜像还模仿了流行的‘kube-controller-manager’容器镜像，它是控制平面的关键组件，在每个主节点上的Pod中运行，负责检测和响应节点故障。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5614.html