微軟揭露近期針對Kubernetes叢集的新型態挖礦攻擊，其惡意容器在2小時內，就感染了數十個Kubernetes叢集，微軟提供使用者數項避免被攻擊的建議，包括不要在網際網路上暴露Kubernetes儀表板，並且只給與儀表板服務帳號必要的權限等。

雲端容器調度工具Kubernetes已經成為標準，被企業大量的使用，而容器化環境的加密貨幣挖礦攻擊也並不少見，通常這些惡意挖礦活動，會在有漏洞的容器中悄悄的運作。而微軟提到，他們最近發現的這個挖礦攻擊，特別之處在於其規模龐大，惡意容器僅在2個小時內，就被部署到數十個Kubernetes叢集上。

這個容器來自於公開儲存庫中的映像檔kannix/monero-miner，這個映像檔執行熱門的開源加密貨幣Monero礦工XMRig。從遙測資料顯示，這個容器是以Kubernetes部署控制器kube-control部署，配置文件設定每個叢集會執行10個Pod副本（Replicas）。

此外，這個惡意攻擊在部署挖礦容器的同時，也會列舉包括Kubernetes秘密資訊等叢集資源，這將會使連接字串、密碼和其他秘密資訊暴露，使其能進行橫向移動。微軟提到，這個攻擊有趣的地方在於，其活動身份使用system:serviceaccount:kube-system:kubernetes-dashboard，而這是儀表板的服務帳號，代表惡意容器由Kubernetes儀表板部署，同樣的，資源列舉也是由儀表板服務帳號啟動。

惡意攻擊者有三種方式可以使用Kubernetes儀表板，第一種是攻擊者掃描暴露在網際網路上的儀表板，並加以利用，第二種則是攻擊者有辦法存取叢集裡其中一個容器，並使用叢集內部網路存取儀表板，而這個行為是Kubernetes預設配置，第三種方法，是攻擊者利用雲端和叢集憑證合法瀏覽儀表板。

由於微軟Azure安全中心所掃描到受攻擊的叢集，其儀表板都暴露在網際網路上，因此微軟認為，這次的攻擊是使用暴露在網際網路的公開儀表板作為媒介，因此微軟建議叢集管理者，不要把Kubernetes儀表板暴露在網際網路上，因為這同時也代表著，向外暴露其管理介面。微軟也建議，叢集最好應用RBAC（Role-Based Access Control），使用以角色為基礎的存取控制，將能有效限制儀表板服務帳號的權限，使其無法部署新容器。

當叢集使用儀表板，管理者應該僅授與儀表板服務帳戶必要的權限，像是當儀表板僅用於監控，就僅給予get權限就好。另外，管理者應僅允許叢集使用受信任的映像檔，從受信任的註冊表中，部署受信任的容器。