RBAC Buster

RBAC Buster 2023: exprimiendo Kubernetes para instalar mineros

RBAC Buster es una operación maliciosa que ha sido identificada por expertos en seguridad. Esta campaña utiliza el control de acceso basado en roles (RBAC) de Kubernetes para implementar puertas traseras y ejecutar mineros en dispositivos comprometidos.

La campaña RBAC Buster se ha enfocado en al menos 60 clústeres de Kubernetes.

Kubernetes es una plataforma de orquestación de contenedores que se utiliza para implementar y administrar aplicaciones en la nube.

El control de acceso basado en roles (RBAC) es un mecanismo de seguridad en Kubernetes que se utiliza para controlar el acceso a los recursos del clúster.

RBAC Buster

En la campaña RBAC Buster, los atacantes explotan vulnerabilidades en los clústeres de Kubernetes para obtener acceso y luego utilizan el control de acceso basado en roles (RBAC) para implementar puertas traseras y ejecutar mineros en los dispositivos comprometidos. Los mineros utilizan los recursos de los dispositivos para extraer criptomonedas, lo que puede ralentizar los sistemas y aumentar los costos de energía.

Para protegerse contra la campaña RBAC Buster, es importante que las organizaciones implementen medidas de seguridad sólidas en sus clústeres de Kubernetes.

Esto puede incluir la aplicación de parches de seguridad y la implementación de controles de acceso rigurosos para limitar el acceso no autorizado.

También es importante supervisar continuamente los sistemas para detectar y responder rápidamente a cualquier actividad sospechosa.

Un honeypot K8 es una trampa de seguridad diseñada para atraer y detectar posibles ataques a un clúster de Kubernetes (K8). Kubernetes es una plataforma de orquestación de contenedores utilizada para gestionar aplicaciones en contenedores.

Los honeypots K8 se configuran para simular aplicaciones vulnerables y servicios expuestos, lo que atrae a los atacantes a intentar explotarlos.

Utilizamos un honeypot K8 para recopilar información sobre las tácticas y técnicas utilizadas por los atacantes para comprometer clústeres de Kubernetes.

Al monitorear el honeypot, pudimos detectar y analizar las herramientas y métodos de los atacantes, como los exploits y las técnicas de evasión, para desarrollar medidas de seguridad más efectivas para proteger los clústeres de Kubernetes.

El uso de honeypots K8 y otras herramientas de seguridad similares es esencial para garantizar la seguridad de los clústeres de Kubernetes y otras aplicaciones en contenedores, ya que permite a los investigadores de seguridad comprender cómo trabajan los atacantes y desarrollar medidas de protección más efectivas.

Es preocupante escuchar sobre esta campaña de ataque que está explotando las vulnerabilidades en los sistemas de Kubernetes (K8) y el control de acceso basado en roles (RBAC).

El control de acceso basado en roles es una técnica común utilizada en la seguridad de la información para proteger los sistemas de información y evitar accesos no autorizados. Sin embargo, como se ha demostrado en este caso, puede ser vulnerable a ataques si no se implementa adecuadamente.

RBAC Buster

Los ataques despliegan DaemonSets para tomar el control de los recursos de los clústeres de K8, son particularmente preocupantes porque permiten a los atacantes tomar el control de todo el clúster, lo que puede resultar en el robo de datos o la interrupción de los servicios.

Es importante que las organizaciones que utilizan Kubernetes o cualquier otro sistema de gestión de contenedores sean conscientes de estas vulnerabilidades y tomen medidas para asegurar sus sistemas.

Esto puede incluir la implementación de parches de seguridad, la limitación del acceso a los sistemas, la supervisión activa de los sistemas y la formación del personal en prácticas de seguridad cibernética.

Los actores de amenazas tuvieron acceso a través de un servidor API mal configurado y pudieron llevar a cabo operaciones de reconocimiento en el sistema.

Es importante que las organizaciones sean conscientes de que la configuración adecuada del servidor API es fundamental para proteger los sistemas de la información.

Los actores de amenazas también llevaron a cabo operaciones de reconocimiento para enumerar secretos y entidades a través de solicitudes HTTP y API, lo que les permitió identificar vulnerabilidades y posibles objetivos de ataque. Esto destaca la importancia de la gestión de identidades y accesos, y la necesidad de tener una política de seguridad sólida para proteger los datos y los recursos críticos.

Además, el hecho de que los actores de amenazas hayan verificado si el servidor ejecutaba malware minero de la competencia sugiere que están comprometidos en una competencia en el mercado del malware y están dispuestos a aprovechar cualquier oportunidad para ganar una ventaja competitiva.

Por último, el aprovechamiento de RBAC para lograr la persistencia es una táctica común utilizada por los atacantes para mantener su presencia en el sistema y evitar la detección.

Es importante que las organizaciones implementen medidas de seguridad adecuadas para detectar y responder a posibles amenazas persistentes. Esto puede incluir la monitorización de los registros de actividad, la implementación de sistemas de detección de intrusiones y la implementación de políticas de seguridad sólidas.

Los atacantes también intentaron eliminar implementaciones existentes específicas, “incluyendo ‘kube-secure-fhgxtsjh’, ‘kube-secure-fhgxt’, ‘api-proxy’ y ‘worker-deployment'”. Los investigadores creen que, al hacerlo, los atacantes tenían como objetivo aumentar la CPU disponible al deshabilitar las campañas heredadas o de la competencia y reducir las posibilidades de ser descubiertos.

Es común que los atacantes traten de evitar ser detectados mientras realizan actividades maliciosas en sistemas informáticos, y una forma de hacerlo es deshabilitando otras campañas que puedan estar compitiendo por recursos.

Al eliminar implementaciones específicas, los atacantes pueden liberar recursos para sus propios fines, lo que les da una ventaja en términos de capacidad de procesamiento y velocidad.

Sin embargo, estas tácticas también pueden aumentar las posibilidades de ser descubiertos, ya que los sistemas de seguridad y los investigadores pueden notar la desaparición de ciertas implementaciones y sospechar de una actividad maliciosa.

La campaña está muy extendida, dado que el contenedor malicioso se extrajo 14 339 veces desde que se cargó hace cinco meses.

Un análisis más detallado reveló que las imágenes del contenedor alojaban un controlador kube binario falso, un malware de minería criptográfica disfrazado y sus archivos de configuración. RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Bu

RBAC Buster

Las billeteras criptográficas asociadas con el minero revelaron que los perpetradores ya habían extraído cinco XMR (aproximadamente $ 200) y podrían obtener otros cinco para fin de año de un solo trabajador.

“La imagen del contenedor denominada ‘kuberntesio/kube-controller’ es un caso de error tipográfico que se hace pasar por la cuenta legítima de ‘kubernetesio’”. RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, 

“Esencialmente, es un componente K8s ampliamente utilizado que debería existir en el clúster y podría engañar a los profesionales haciéndoles pensar que es una implementación legítima en lugar de un criptominero. Dado que está diseñado para funcionar continuamente, nadie cuestionaría su presencia”. RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, 

 

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Lea más sobre ciberseguridad en;

ZTNA Next, el killer del 100% de las VPN heredadas

CVE-2023-20869 con una puntuación 9.3 recibe un parche de VMware

Aplicaciones críticas bancarias: 2023 un año para el olvido

Qbot 2023 infecta correos corporativos con archivos PDF maliciosos

QRadar Security Suite: la navaja suiza 2023 de IBM

Salir de la versión móvil