تم اكتشاف حملة هجوم واسعة النطاق في البرية تستغل نظام التحكم في الوصول المستند إلى الأدوار ( RBAC ) لـ Kubernetes (K8s) لإنشاء أبواب خلفية وتشغيل مُعدِّني العملات المشفرة.
وقالت شركة الأمن السحابية Aqua في تقرير تمت مشاركته مع The Hacker News: "قام المهاجمون أيضًا بنشر DaemonSets للاستيلاء على موارد مجموعات K8s التي يهاجمونها واختطافها" . وقالت الشركة الإسرائيلية ، التي أطلقت على الهجوم RBAC Buster ، إنها عثرت على 60 مجموعة مكشوفة من طراز K8s تم استغلالها من قبل ممثل التهديد وراء هذه الحملة.
بدأت سلسلة الهجوم مع حصول المهاجم على وصول أولي عبر خادم API تم تكوينه بشكل خاطئ ، متبوعًا بالتحقق من وجود برمجيات خبيثة خاصة بعمال المناجم على الخادم المخترق ثم استخدام RBAC لإعداد الاستمرارية.
وقالت الشركة: "أنشأ المهاجم ClusterRole جديدًا بامتيازات قريبة من مستوى الإدارة". "بعد ذلك ، أنشأ المهاجم" ServiceAccount "و" kube-controller "في مساحة اسم" kube-system ". وأخيرًا ، أنشأ المهاجم" ClusterRoleBinding "، وربط ClusterRole بحساب ServiceAccount لإنشاء ثبات قوي وغير واضح."
في التسلل الذي لوحظ ضد مواضع الجذب الخاصة به K8s ، حاول المهاجم تسليح مفاتيح وصول AWS المكشوفة للحصول على موطئ قدم راسخ في البيئة ، وسرقة البيانات ، والهروب من حدود المجموعة.
استلزمت الخطوة الأخيرة للهجوم الفاعل الذي يمثل التهديد بإنشاء DaemonSet لنشر صورة حاوية مستضافة على Docker ("kuberntesio / kube-controller: 1.0.1") على جميع العقد. تحتوي الحاوية ، التي تم سحبها 14399 مرة منذ تحميلها قبل خمسة أشهر ، على عامل منجم للعملات المشفرة.
قال أكوا: "صورة الحاوية المسماة" kuberntesio / kube-controller "هي حالة خطأ مطبعي تنتحل شخصية حساب" kubernetesio "الشرعي". "تحاكي الصورة أيضًا صورة حاوية" kube-controller-manager "الشهيرة ، والتي تعد مكونًا مهمًا في مستوى التحكم ، وتعمل داخل Pod على كل عقدة رئيسية ، وهي مسؤولة عن اكتشاف حالات فشل العقدة والاستجابة لها."
ومن المثير للاهتمام ، أن بعض التكتيكات الموضحة في الحملة تشبه عملية تعدين عملة معماة غير مشروعة أخرى استفادت أيضًا من DaemonSets لصك Dero و Monero. ليس من الواضح حاليًا ما إذا كانت مجموعتا الهجمات مرتبطان أم لا.