Kubernetes RBAC Exploited in Large-Scale Campaign for Cryptocurrency Mining
2023/04/21 TheHackerNews — この、野放し状態の大規模な攻撃キャンペーンは、Kubernetes (K8s) の Role-Based Access Control (RBAC) を悪用してバックドアを作成し、暗号通貨マイナーを走らせていた。クラウド・セキュリティ会社の Aqua は、「攻撃者は、標的である K8s クラスターのリソースを乗っ取り、ハイジャックするために DaemonSets を展開した。この攻撃を RBAC Buster と名付けた同社は、このキャンペーンの背後にいる脅威アクターにより悪用された、60 件の露出した K8s クラスターを発見した」と、The Hacker News と共有したレポートの中で述べている。
この攻撃チェーンは、ミスコンフィグレーションのある API サーバを悪用して、攻撃者がイニシャル・アクセスを得ることから始まり、侵害したサーバ上で、競合するマイナー・マルウェアの証拠を確認し、RBAC を用いて永続性を確保する。
Aqua は、「この攻撃者は、管理者レベルに近い権限を持つ、新しい ClusterRole を作成している。続いて、”kube-system” ネームスペースに “ServiceAccount” と “kube-controller” を作成する。最終的に攻撃者は、”ClusterRoleBinding” を作成し、”ClusterRole” と “ServiceAccount” をバインドし、強力かつ目立たない永続性を作り出した」と述べている。
同社の K8s ハニーポットにおいて観測された侵入では、攻撃者は公開された AWS アクセスキーを武器に、環境に定着した足場を得て、データを盗み、クラスターの境界からエスケープしようとした。
攻撃の最終段階として、脅威者は DaemonSet を作成し、Docker 上でホストされているコンテナ・イメージ “kuberntesio/kube-controller:1.0.1” を全ノードに配置した。この、暗号通貨マイナーを隠し持っているコンテナは、5ヶ月前のアップロード以来、14,399 回も利用されている。
Aqua は、「”kuberntesio/kube-controller”という名前のコンテナ・イメージは、正規の “kubernetesio”アカウントになりすました、タイポスクワッティングのケースである。このイメージは、人気のある “kube-controller-manager” コンテナ・イメージも模倣しており、コントロール・プレーンの重要なコンポーネントとして、すべてのマスターノードの Pod 内で動作し、ノード障害の検出と応答を担当する」と指摘している。
興味深いことに、このキャンペーンで採用されている戦術のいくつかは、同じく DaemonSets を利用して Dero と Monero を鋳造した、別の不正な暗号通貨マイナーと類似している。ただし、この2つの攻撃の関連性については、現在のところ明らかではない。
Kubernetes (K8s) の Role-Based Access Control (RBAC) を悪用してバックドアを作成し、暗号通貨マイナーを実行するというキャンペーンが発見されたとのことです。また、この攻撃により侵害された 60 件の K8s クラスターが、すでに展開されているようです。よろしければ、Kubernetes で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.