รูปแบบการโจมตีที่ถูกค้นพบล่าสุดนั้น เป็นการใช้ประโยชน์จากคลัสเตอร์ Kubernetes – Role-Based Access Control หรือ K8s RBAC เพื่อสร้างแบ็คดอร์และรัน Cryptocurrency โดยใช้ DaemonSets เข้ามาช่วยในการดำเนินการโจมตี
การโจมตีเริ่มต้นโดยผู้ไม่ประสงค์ดีสามารถเข้าถึงเซิร์ฟเวอร์ API ที่กำหนดค่าไม่ถูกต้อง จากนั้นจะใช้ดำเนินการ Malware miner บนเซิร์ฟเวอร์ที่ถูกโจมตี และต่อมาจะใช้ RBAC เพื่อตั้งค่าการคงอยู่ในระบบของเหยื่อ ในการโจมตีนั้น ถูกตรวจพบจากฮันนี่พอตของ K8s ซึ่งผู้ไม่ประสงค์ดีพยายามสร้างคีย์การเข้าถึง AWS เพื่อเข้าไปในระบบ, ขโมยข้อมูล และพยายามหลุดออกจากขอบเขตของคลัสเตอร์ K8s
ขั้นตอนสุดท้ายของการโจมตีผู้ไม่ประสงค์ดีจะสร้าง DaemonSet เพื่อปรับใช้อิมเมจ คอนเทนเนอร์ที่โฮสต์อยู่บน Docker : (“kuberntesio/kube-controller:1.0.1”) บนโหนดทั้งหมด โดยคอนเทนเนอร์ที่ถูกดึงออกมา 14,399 ครั้ง นับตั้งแต่อัปโหลดเมื่อ 5 เดือนที่แล้ว จะมี Cryptocurrency อยู่ด้วย
อิมเมจคอนเทนเนอร์ชื่อ ‘kuberntesio/kube-controller’ จะถูกเขียนขึ้นเพื่อแอบอ้างเป็นบัญชี ‘kubernetesio’ และยังเลียนแบบอิมเมจคอนเทนเนอร์ ‘kube-controller-manager’ ซึ่งเป็นส่วนประกอบที่สำคัญของการควบคุมการทำงานภายใน Pod บนโหนดหลักทุกโหนด โดยมีหน้าที่ตรวจจับและตอบสนองต่อความผิดปกติของโหนด
จุดสังเกตที่น่าสนใจของกลวิธีบางอย่างในรูปแบบมีความคล้ายคลึงกับการดำเนินการขุด cryptocurrency ที่ผิดกฎหมายอื่น ๆ ซึ่งใช้ประโยชน์จาก DaemonSets เพื่อขุด Dero และ Monero แต่ขณะนี้ยังไม่ชัดเจนว่าการโจมตีทั้ง 2 ชุดมีความเกี่ยวข้องกันหรือไม่
คำแนะนำ
- ควรกำหนดสิทธิ์และจำกัดการเข้าถึง Resources ของ Root User
- ควรบล็อคโดเมนที่ทำ Coin Mining ในไฟล์โฮสต์
- ควรเปิดใช้งาน AWS MFA หรือ Multi Factor Authentication
- ควรตรวจสอบ Policy ที่ใช้งานอย่างสม่ำเสมอ
Ref: bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น