Os especialistas em segurança cibernética da Intezer detectaram recentemente um ataque cibernético e, logo após a detecção, alertaram que os autores da ameaça desse ataque estão usando o mecanismo Argo Workflows para iniciar ataques a Clusters Kubernetes para implantar facilmente mineradores de criptografia.
Depois de detectar o ataque cibernético, os pesquisadores iniciaram uma investigação profunda e encontraram uma série de receptáculos vulneráveis que são usados especificamente por organizações que lidam com os seguintes setores: –
- Setor de tecnologia
- Setor financeiro
- Setor de logística
Hackers abusaram do Argo
Argo Workflows é um mecanismo de fluxo de trabalho em contêiner de código aberto que geralmente funciona com Kubernetes e permite que os usuários controlem com eficiência trabalhos paralelos a partir de uma interface conveniente.
Hoje em dia, os agentes da ameaça têm como alvo o Argo porque ele mantém um grande número de usuários conectados. Argo Workflows utiliza arquivos YAML para determinar o tipo de trabalho a ser executado.
Segundo os especialistas da Interzer relatóriosempre que as permissões são configuradas incorretamente, torna-se uma oportunidade conveniente para os agentes da ameaça e eles utilizam facilmente essa oportunidade para obter acesso a um painel Argo aberto e implementar seu próprio fluxo de trabalho.
No entanto, durante a investigação, também descobriu-se que os agentes da ameaça deste ataque também implantaram um popular contêiner de mineração de criptomoeda, o minerador kannix/monero.
Um novo vetor de ataque que já é usado na natureza
Os atores da ameaça já estão aproveitando o novo vetor, e também foi detectado que vários operadores estão descartando mineradores de criptografia e usando esse vetor de ataque.
No entanto, os especialistas afirmam que os hackers obtêm acesso facilmente a esse tipo de cluster por meio de painéis Argo expostos à Internet.
Assim que obtêm acesso, logo eles implantam seus próprios fluxos de trabalho maliciosos simplesmente usando diferentes contêineres de mineradores Monero, o que também envolve kannix/monero-miner, um contêiner falecido que geralmente minera Monero utilizando o minerador CPU/GPU XMRig.
Proposta de Mitigação
Os analistas da Intezer afirmaram que se algum usuário quiser verificar se está configurado incorretamente ou não, nesse caso, basta tentar acessar o painel do Argo Workflows a partir de qualquer navegador anônimo não autenticado que esteja presente fora do ambiente corporativo.
Além disso, existe outra forma de verificar, que é consultar a API da instância do usuário e verificar o código de status. Não existe um método específico que ajude a contornar este tipo de ataque, mas os especialistas afirmam que metodologias como a princípio do menor privilégio (PoLP) deve ser abraçado.
Além disso, os usuários sempre consultam a documentação do aplicativo caso desejem as melhores práticas de segurança. Além de todas essas coisas, os pesquisadores de segurança estão fazendo o possível para encontrar todos os detalhes desse ataque, bem como alguma mitigação forte e confiável.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.