Une campagne d’attaque à grande échelle découverte dans la nature a exploité le contrôle d’accès basé sur les rôles Kubernetes (K8s) (RBAC) pour créer des portes dérobées et exécuter des mineurs de crypto-monnaie.
« Les attaquants ont également déployé DaemonSets pour prendre le contrôle et détourner les ressources des clusters K8 qu’ils attaquent », a déclaré la société de sécurité cloud Aqua dans un communiqué. rapport partagé avec The Hacker News. La société israélienne, qui a surnommé l’attaque RBAC Bustera déclaré avoir trouvé 60 clusters K8 exposés qui ont été exploités par l’acteur menaçant à l’origine de cette campagne.
La chaîne d’attaque a commencé avec l’accès initial de l’attaquant via un serveur API mal configuré, suivi de la recherche de preuves de logiciels malveillants mineurs concurrents sur le serveur compromis, puis de l’utilisation de RBAC pour configurer la persistance.
« L’attaquant a créé un nouveau ClusterRole avec des privilèges proches du niveau administrateur », a déclaré la société. « Ensuite, l’attaquant a créé un ‘ServiceAccount’, ‘kube-controller’ dans l’espace de noms ‘kube-system’. Enfin, l’attaquant a créé un ‘ClusterRoleBinding’, liant le ClusterRole au ServiceAccount pour créer une persistance forte et discrète. »
Lors de l’intrusion observée contre ses pots de miel K8, l’attaquant a tenté de militariser les clés d’accès AWS exposées pour s’implanter dans l’environnement, voler des données et échapper aux limites du cluster.
La dernière étape de l’attaque a consisté pour l’auteur de la menace à créer un DaemonSet pour déployer une image de conteneur hébergée sur Docker (« kuberntesio/kube-controller:1.0.1 ») sur tous les nœuds. Le conteneur, qui a été retiré 14 399 fois depuis son téléchargement il y a cinq mois, abrite un mineur de crypto-monnaie.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
« L’image du conteneur nommée ‘kuberntesio/kube-controller’ est un cas de typosquattage qui se fait passer pour le compte ‘kubernetesio’ légitime », a déclaré Aqua. « L’image imite également l’image de conteneur populaire » kube-controller-manager « , qui est un composant essentiel du plan de contrôle, s’exécutant dans un pod sur chaque nœud maître, responsable de la détection et de la réponse aux défaillances de nœud. »
Fait intéressant, certaines des tactiques décrites dans la campagne présentent des similitudes avec une autre opération illicite de minage de crypto-monnaie qui a également profité de DaemonSets pour frapper Dero et Monero. Il n’est actuellement pas clair si les deux séries d’attaques sont liées.
