查看原文
其他

通过 Kubeflow 实例瞄准 Kubernetes 集群的密币挖掘攻击

Ravie Lakshmanan 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士


本周二,网络安全研究员披露了针对 Kubeflow 部署的大规模攻击活动,目的是运行恶意密币挖掘容器。


这次攻击活动涉及在Kubernetes 集群上部署 TensorFlow pod,pod 运行源自 Docker Hub 官方账户的合法 TensorFlow 镜像。然而,容器镜像配置为执行恶意命令以挖掘密币。微软表示,5月底部署激增。

Kubeflow 是一款开源机器学习平台,旨在在 Kubernetes 上部署机器学习工作流。部署本身可通过 Kubeflow 完成,通过部署在集群中的控制板暴露其 UI 功能。微软从攻击中发现,攻击者利用集中式仪表板作为入口点来创建管道,运行执行密币挖掘任务的 TensorFlow 镜像。

微软资深安全研究工程师 Yossi Weizman 在报告中指出,“多种集群上的部署爆发是同时发生的,这说明攻击者提前扫描了这些集群并维护了一份潜在目标清单,这些目标之后同时遭攻击。”

这次入侵事件和微软 Azure Security Center 在去年四月观察到的类似攻击吻合,后者滥用暴露在互联网上的 Kubeflow 仪表盘部署后门容器,实施密币挖掘。Weizman 表示,目前尚未有证据表明这两起攻击活动由同样的威胁人员发起。


这起攻击活动据称使用了两个不同的 TensorFlow 镜像,标签是 “lastest” 和 “latest-gpu”,以运行恶意代码。利用合法的 TensorFlow 镜像也是一种避免检测的聪明设计,原因是在基于机器学习的工作负载中TensorFlow 容器很常见。

另外,微软表示攻击者能够利用这些镜像,通过 CUDA 运行 GPU 任务,从而使攻击者 “将从主机的挖矿利益最大化”。Weizman 表示,“作为攻击流的一部分,攻击者还能够部署侦察容器,查询环境信息如 GPU 和 CPU 信息,为挖矿做准备。”几天前,Palo Alto Networks 的 Unit 42 威胁情报团队披露了一款新型恶意软件 Siloscope,通过 Windows 容器攻陷 Kubernetes 集群。

建议运行 Kubeflow 的用户确保该集中式仪表板未被不安全地暴露到互联网,如果必须披露,则要求具备认证保护。

微软还发布了 Kubernetes 的威胁矩阵,以便更好地理解容器化环境的攻击面并协助组织机构识别防御差距,使 Kubernetes 免受威胁。

今年4月初,微软和威胁情报防御中心的其他成员联合发布 ATT&CK 容器矩阵。该矩阵构建于 Kubernets 威胁矩阵之上,检测“和容器相关的风险,包括通常为首个攻击向量的错误配置,以及在野的具体攻击技术实现。”




推荐阅读
不安全的Hadoop集群暴露逾5000TB数据
有人滥用 GitHub Actions在 GitHub 服务器挖掘密币,且正在蔓延
欧洲多国的超级计算机因被滥用于挖掘密币而关闭




原文链接

https://thehackernews.com/2021/06/crypto-mining-attacks-targeting.html


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存