Trusler mod cloud-native infrastruktur er stigende, især da angribere målretter cloud- og containerressourcer for at drive deres ulovlige kryptominering. I den seneste drejning laver cyberkriminelle ravage på cloud-ressourcer for både at udbrede og drive kryptojacking-virksomheder i dyre ordninger, der koster ofre omkring $50 i cloud-ressourcer for hver $1 værd af kryptovaluta, som skurkene henter ud af disse computerreserver.
Det er ifølge en ny rapport udgivet i dag fra Sysdig, som viser, at selvom de onde vilkårligt vil angribe enhver svag sky- eller containerressource, de kan få fingrene i for at drive pengeskabende kryptomineringsordninger, er de også smart strategiske omkring det.
Faktisk er mange af de mest udspekulerede softwareforsyningskædeangreb for en stor del designet til at skabe kryptominere via inficerede containerbilleder. Angribere udnytter ikke kun kildekodeafhængigheder, der oftest tænkes på i offensive forsyningskædeangreb - de udnytter også ondsindede containerbilleder som et effektivt angrebsmiddel, ifølge Sysdigs "2022 Cloud-Native Threat Report".
Cyberkriminelle udnytter tendensen inden for udviklingssamfundet til at dele kode og open source-projekter via forudlavede containerbilleder via containerregistre som Docker Hub. Containerafbildninger har al den nødvendige software installeret og konfigureret i en arbejdsbelastning, der er nem at implementere. Selvom det er en alvorlig tidsbesparelse for udviklere, åbner det også en vej for angribere til at skabe billeder, der har ondsindede nyttelaster indbygget og derefter til at starte platforme som DockerHub med deres ondsindede varer. Det eneste, der skal til, er, at en udvikler kører en Docker pull-anmodning fra platformen for at få det ondsindede billede til at køre. Derudover er Docker Hub-downloaden og -installationen uigennemsigtig, hvilket gør det endnu sværere at få øje på potentialet for problemer.
"Det er klart, at containerbilleder er blevet en reel angrebsvektor snarere end en teoretisk risiko," forklarede rapporten, som Sysdig Threat Research Team (TRT) gennemgik en månedslang proces med at gennemsøge offentlige containerbilleder uploadet af brugere over hele verden til. DockerHub for at finde ondsindede tilfælde. "De metoder, der anvendes af ondsindede aktører beskrevet af Sysdig TRT, er specifikt rettet mod cloud- og containerarbejdsbelastninger."
Holdets jagt viste mere end 1,600 ondsindede billeder indeholdende kryptominere, bagdøre og anden grim malware forklædt som legitim populær software. Cryptominers var langt den mest udbredte og udgjorde 36% af prøverne.
"Sikkerhedsteams kan ikke længere narre sig selv med tanken om, at 'containere er for nye eller for flygtige til, at trusselsaktører kan genere'," siger Stefano Chierici, senior sikkerhedsforsker hos Sysdig og medforfatter af rapporten. "Angribere er i skyen, og de tager rigtige penge. Den høje udbredelse af cryptojacking-aktivitet kan tilskrives den lave risiko og høje belønning for gerningsmændene."
TeamTNT og Chimera
Som en del af rapporten lavede Chierici og hans kolleger også en dybtgående teknisk analyse af taktikken, teknikkerne og procedurerne (TTP'er) i TeamTNT-trusselsgruppen. Gruppen, som har været aktiv siden 2019, har ifølge nogle kilder kompromitteret over 10,000 cloud- og containerenheder under en af dens mest udbredte angrebskampagner, Chimera. Det er bedst kendt for cryptojacking ormeaktivitet, og ifølge rapporten fortsætter TeamTNT med at forfine sine scripts og dets TTP'er i 2022. For eksempel forbinder det nu scripts med AWS Cloud Metadata-tjenesten for at udnytte legitimationsoplysninger forbundet med en EC2-instans og få adgang til andre ressourcer knyttet til en kompromitteret instans.
"Hvis der er for mange tilladelser forbundet med disse legitimationsoplysninger, kan angriberen få endnu mere adgang. Sysdig TRT mener, at TeamTNT ville ønske at udnytte disse legitimationsoplysninger, hvis de er i stand, til at skabe flere EC2-instanser, så det kunne øge sine kryptomineringsmuligheder og -fortjeneste," hedder det i rapporten.
Som en del af sin analyse gravede holdet i en række XMR-tegnebøger, der blev brugt af TeamTNT under minekampagner for at finde ud af de økonomiske konsekvenser af kryptojacking.
Ved at bruge teknisk analyse af trusselsgruppens operationelle praksis under Chimera-operationen var Sysdig i stand til at finde ud af, at modstanderen kostede sine ofre $11,000 på en enkelt AWS EC2-instans for hver XMR, den udvindede. De pengepunge, som holdet genfandt, beløb sig til omkring 40 XMR, hvilket betyder, at angriberne drev en skyregning på næsten $430,000 for at udvinde disse mønter.
Ved at bruge møntværdiansættelsen fra tidligere i år anslog rapporten, at værdien af disse mønter svarer til omkring $8,100, hvor bagsiden af kuverten viser, at for hver dollar de onde tjener, koster de ofrene mindst $53 i skyregninger alene.
