K8s RBAC เพื่อสร้างแบ็คดอร์และรัน Cryptocurrency โดยใช้ DaemonSets
แคมเปญการโจมตีที่ถูกค้นพบล่าสุดนั้น ได้ใช้ประโยชน์จากคลัสเตอร์ Kubernetes – Role-Based Access Control หรือ K8s RBAC เพื่อสร้างแบ็คดอร์และรัน Cryptocurrency โดยใช้ DaemonSets เข้ามาช่วยในการดำเนินการโจมตี
การโจมตีเริ่มต้นโดยแฮกเกอร์สามารถเข้าถึงเบื้องต้นผ่านเซิร์ฟเวอร์ API ที่กำหนดค่าไม่ถูกต้อง จากนั้นจะใช้ดำเนินการมัลแวร์ miner บนเซิร์ฟเวอร์ที่ถูกโจมตี และต่อมาจะใช้ RBAC เพื่อตั้งค่าการคงอยู่ในระบบของเหยื่อ ในการโจมตีนั้น ถูกตรวจพบจากฮันนี่พอตของ K8s ซึ่งแฮกเกอร์พยายามสร้างคีย์การเข้าถึง AWS เพื่อเข้าไปในระบบ, ขโมยข้อมูล และพยายามหลุดออกจากขอบเขตของคลัสเตอร์ K8s
ขั้นตอนสุดท้ายของการโจมตีแฮกเกอร์จะสร้าง DaemonSet เพื่อปรับใช้อิมเมจ คอนเทนเนอร์ที่โฮสต์อยู่บน Docker : (“kuberntesio/kube-controller:1.0.1”) บนโหนดทั้งหมด โดยคอนเทนเนอร์ที่ถูกดึงออกมา 14,399 ครั้ง นับตั้งแต่อัปโหลดเมื่อ 5 เดือนที่แล้ว จะมี Cryptocurrency อยู่ด้วย
อิมเมจคอนเทนเนอร์ชื่อ ‘kuberntesio/kube-controller’ จะถูกเขียนขึ้นเพื่อแอบอ้างเป็นบัญชี ‘kubernetesio’ และยังเลียนแบบอิมเมจคอนเทนเนอร์ ‘kube-controller-manager’ ซึ่งเป็นส่วนประกอบที่สำคัญของการควบคุมการทำงานภายใน Pod บนโหนดหลักทุกโหนด โดยมีหน้าที่ตรวจจับและตอบสนองต่อความผิดปกติของโหนด
จุดสังเกตที่น่าสนใจของกลวิธีบางอย่างในแคมเปญมีความคล้ายคลึงกับการดำเนินการขุด cryptocurrency ที่ผิดกฎหมายอื่น ๆ ซึ่งใช้ประโยชน์จาก DaemonSets เพื่อขุด Dero และ Monero แต่ขณะนี้ยังไม่ชัดเจนว่าการโจมตีทั้ง 2 ชุดมีความเกี่ยวข้องกันหรือไม่
คำแนะนำ
- ควรกำหนดสิทธิ์และจำกัดการเข้าถึง Resources ของ Root User
- ควรบล็อคโดเมนที่ทำ Coin Mining ในไฟล์โฮสต์
- ควรเปิดใช้งาน AWS MFA หรือ Multi Factor Authentication
- ควรตรวจสอบ Policy ที่ใช้งานอย่างสม่ำเสมอ
Ref: https://thehackernews.com/2023/04/kubernetes-rbac-exploited-in-large.html