微软的网络安全专家分享了有关攻击 Kubeflow 工作负载以在Kubernetes集群中部署恶意 pod然后用于挖掘加密货币的新活动的详细信息。Kubeflow 是一种流行的开源框架,用于在 Kubernetes 中运行机器学习 (ML ) 任务。
在一篇博客文章中,来自微软以色列开发中心的云安全研究高级安全研究工程师 Yossi Weizman 解释说,他们在 5 月下旬发现了该活动,原因是 TensorFlow pod 在各种 Kubernetes 集群中的部署激增。
“这些 Pod 运行来自官方Docker Hub帐户的合法 TensorFlow 映像。查看 pod 的入口点,发现它们的目标是挖掘加密货币,”Weizman 写道。
在对活动的分析中,Weizman 解释说,攻击者同时部署了恶意集群,这告诉他攻击者已经提前制定了潜在目标列表。
他进一步指出,攻击者使用暴露在互联网上的 Kubeflow 仪表板来执行他们的加密任务,正如Bleeping Computer 所解释的那样,他们应该将自己限制在本地访问。
在集群内部,攻击者至少部署了两个独立的 Pod,一个运行 XMRig 以使用 CPU 挖掘Monero,另一个运行 Ethminer 以在 GPU 上挖掘以太坊。
有趣的是,这并不是恶意用户第一次尝试利用 Kubeflow 来重新利用容器来挖掘加密货币。魏兹曼的团队在 2020 年 6 月也发现了类似的操作。在去年的活动中,攻击者滥用暴露的 Kubeflow 仪表板,通过 Jupyter notebook 部署恶意容器。
标签: 微软
