Злоумышленники нацелились на OpenMetadata в средах Kubernetes и эксплуатируют критические уязвимости удаленного выполнения кода и обхода аутентификации для майнинга криповалюты. Иногда хакеры оставляют пострадавшим записки, в которых рассказывают, что просто очень хотят купить машину и квартиру.
OpenMetadata — это опенсорсная платформа для управления метаданными, которая помогает работать с большими объемами данных, каталогизировать и обнаруживать информационные активы, включая базы данных, таблицы, файлы и сервисы.
Как сообщают специалисты Microsoft, с начала апреля OpenMetadata находится под активными атаками. Дело в том, что еще в марте в OpenMedata версий 1.2.4 и 1.3.1 были исправлены уязвимости CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 и CVE-2024-28254, которые позволяют злоумышленникам обойти аутентификацию и добиться удаленного выполнения кода.
«В этой атаке злоумышленники рассылают ping-запросы на домены, заканчивающиеся на oast[.]me и oast[.]pro, которые связаны с Interactsh, опенсорсным инструментом для обнаружения out-of-band взаимодействий, — рассказывают исследователи. — Обнаружив уязвимую версию приложения, злоумышленники используют перечисленные уязвимости, чтобы получить возможность выполнения кода в контейнере, где запущен уязвимый образ OpenMetadata.
После подтверждения доступа и проверки соединения злоумышленники загружают полезную нагрузку (вредоносное ПО для криптовалют) с удаленного сервера. Мы наблюдали, как злоумышленники использовали для этого удаленный сервер, расположенный в Китае».
По словам специалистов, сервер, на котором размещается полезная нагрузка, также содержит дополнительную малварь, предназначенную для майнинга в Linux и Windows.
На следующем этапе хакеры удаляют исходную полезную нагрузку из взломанного приложения Kubernetes и устанавливают обратное шелл-соединение с помощью инструмента Netcat. Это дает им удаленный доступ к контейнеру и позволяет взять систему под контроль. Чтобы сохранить постоянный доступ, атакующие используют cronjobs для планирования задач, выполняющих вредоносный код через заданные промежутки времени.
Примечательно, что в некоторых случаях злоумышленники также оставляют во взломанных системах слезливую записку, в которой просят пострадавших пожертвовать им криптовалюту Monero, чтобы помочь купить автомобиль или квартиру в Китае.
«Привет, друг. Я заметил, что в последнее время несколько организаций предупреждают о моем трояне. Пожалуйста, дайте мне уйти. Я хочу купить машину. Вот и все. Я не хочу вредить другим. Я ничего не могу поделать. Моя семья очень бедна. В Китае трудно купить квартиру. У меня нет никакого жилья. Я не хочу делать ничего противозаконного. Серьезно, если вы заинтересованы, можете дать мне XMR, вот мой адрес», — пишут хакеры.
Администраторам, которые вынуждены «светить» workload'ы OpenMedata в сети, рекомендуется изменить учетные данные по умолчанию, использовать строгие методы аутентификации и внимательно следить за тем, чтобы в приложениях были исправлены все свежие уязвимости.
«Эта атака служит важным напоминанием о том, почему крайне важно придерживаться нормативных требований и запускать полностью пропатченные workload'ы в контейнерных средах», — заключают в Microsoft.