聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

本周二，网络安全研究员披露了针对 Kubeflow 部署的大规模攻击活动，目的是运行恶意密币挖掘容器。

这次攻击活动涉及在Kubernetes 集群上部署 TensorFlow pod，pod 运行源自 Docker Hub 官方账户的合法 TensorFlow 镜像。然而，容器镜像配置为执行恶意命令以挖掘密币。微软表示，5月底部署激增。

Kubeflow 是一款开源机器学习平台，旨在在 Kubernetes 上部署机器学习工作流。部署本身可通过 Kubeflow 完成，通过部署在集群中的控制板暴露其 UI 功能。微软从攻击中发现，攻击者利用集中式仪表板作为入口点来创建管道，运行执行密币挖掘任务的 TensorFlow 镜像。

微软资深安全研究工程师 Yossi Weizman 在报告中指出，“多种集群上的部署爆发是同时发生的，这说明攻击者提前扫描了这些集群并维护了一份潜在目标清单，这些目标之后同时遭攻击。”

这次入侵事件和微软 Azure Security Center 在去年四月观察到的类似攻击吻合，后者滥用暴露在互联网上的 Kubeflow 仪表盘部署后门容器，实施密币挖掘。Weizman 表示，目前尚未有证据表明这两起攻击活动由同样的威胁人员发起。

这起攻击活动据称使用了两个不同的 TensorFlow 镜像，标签是 “lastest” 和 “latest-gpu”，以运行恶意代码。利用合法的 TensorFlow 镜像也是一种避免检测的聪明设计，原因是在基于机器学习的工作负载中TensorFlow 容器很常见。

另外，微软表示攻击者能够利用这些镜像，通过 CUDA 运行 GPU 任务，从而使攻击者 “将从主机的挖矿利益最大化”。Weizman 表示，“作为攻击流的一部分，攻击者还能够部署侦察容器，查询环境信息如 GPU 和 CPU 信息，为挖矿做准备。”几天前，Palo Alto Networks 的 Unit 42 威胁情报团队披露了一款新型恶意软件 Siloscope，通过 Windows 容器攻陷 Kubernetes 集群。

建议运行 Kubeflow 的用户确保该集中式仪表板未被不安全地暴露到互联网，如果必须披露，则要求具备认证保护。

微软还发布了 Kubernetes 的威胁矩阵，以便更好地理解容器化环境的攻击面并协助组织机构识别防御差距，使 Kubernetes 免受威胁。

今年4月初，微软和威胁情报防御中心的其他成员联合发布 ATT&CK 容器矩阵。该矩阵构建于 Kubernets 威胁矩阵之上，检测“和容器相关的风险，包括通常为首个攻击向量的错误配置，以及在野的具体攻击技术实现。”

推荐阅读

不安全的Hadoop集群暴露逾5000TB数据

有人滥用 GitHub Actions在 GitHub 服务器挖掘密币，且正在蔓延

欧洲多国的超级计算机因被滥用于挖掘密币而关闭

原文链接

https://thehackernews.com/2021/06/crypto-mining-attacks-targeting.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~