Microsoft обнаружила атаку на рабочие нагрузки Kubernetes, использующую уязвимости в OpenMetadata. Уязвимости могут быть использованы для обхода аутентификации и выполнения кода. Злоумышленники ищут открытые кластеры с OpenMetadata, чтобы получить доступ к системе. Они отправляют ping-запросы на общедоступные домены, связанные с интерактивными инструментами, чтобы подтвердить своё вторжение и оценить контроль над системой.
Злоумышленники собирают информацию об окружении жертвы, включая переменные окружения, которые могут содержать учетные данные. Затем они загружают вредоносное ПО для криптомайнинга с удаленного сервера, повышают права доступа и запускают его. Для удаленного доступа злоумышленники используют обратное shell-соединение с удаленным сервером и настраивают cronjobs для персистентности вредоносного кода.
Indicators of Compromise
IPv4
- 61.160.194.160
- 8.130.115.208
- 8.222.144.60
SHA256
- 19a63bd5d18f955c0de550f072534aa7a6a6cc6b78a24fea4cc6ce23011ea01d
- 31cd1651752eae014c7ceaaf107f0bf8323b682ff5b24c683a683fdac7525bad
- 7c6f0bae1e588821bd5d66cd98f52b7005e054279748c2c851647097fa2ae2df
