Bedrohungen für Cloud-native Infrastrukturen nehmen zu, insbesondere da Angreifer auf Cloud- und Container-Ressourcen abzielen, um ihre illegalen Krypto-Mining-Operationen voranzutreiben. In der neuesten Wendung richten Cyberkriminelle Chaos auf Cloud-Ressourcen an, um Kryptojacking-Unternehmen in kostspieligen Schemata zu verbreiten und zu betreiben, die die Opfer etwa 50 US-Dollar an Cloud-Ressourcen für jeden US-Dollar im Wert von Kryptowährung kosten, den die Gauner aus diesen Rechenreserven abbauen.
Das geht aus einem neuen Bericht von Sysdig hervor, der zeigt, dass die Bösewichte zwar wahllos alle schwachen Cloud- oder Container-Ressourcen angreifen, die sie in die Hände bekommen können, um geldverdienende Kryptomining-Schemata zu betreiben, aber dabei auch geschickt strategisch vorgehen.
Tatsächlich sind viele der raffiniertesten Angriffe auf die Software-Lieferkette größtenteils darauf ausgelegt, Krypto-Miner über infizierte Container-Images hervorzubringen. Angreifer nutzen nicht nur Quellcode-Abhängigkeiten, an die am häufigsten bei offensiven Angriffen auf die Lieferkette gedacht wird – sie nutzen laut Sysdigs „Bericht zu Cloud-nativen Bedrohungen 2022"
Cyberkriminelle nutzen den Trend innerhalb der Entwickler-Community, Code und Open-Source-Projekte über vorgefertigte Container-Images über Container-Registries wie Docker Hub zu teilen. Auf Container-Images ist die gesamte erforderliche Software in einem einfach bereitzustellenden Workload installiert und konfiguriert. Während dies für Entwickler eine erhebliche Zeitersparnis darstellt, eröffnet es Angreifern auch einen Weg, um Images zu erstellen, die bösartige Payloads eingebaut haben, und dann Plattformen wie DockerHub mit ihren bösartigen Waren zu impfen. Ein Entwickler muss lediglich einen Docker-Pull-Request von der Plattform ausführen, um dieses bösartige Image zum Laufen zu bringen. Darüber hinaus sind der Download und die Installation von Docker Hub undurchsichtig, was es noch schwieriger macht, potenzielle Probleme zu erkennen.
„Es ist klar, dass Container-Images zu einem echten Angriffsvektor und nicht zu einem theoretischen Risiko geworden sind“, erklärte der Bericht, für den das Sysdig Threat Research Team (TRT) einen monatelangen Prozess der Sichtung von öffentlichen Container-Images durchlief, die von Benutzern weltweit hochgeladen wurden DockerHub, um schädliche Instanzen zu finden. „Die von Sysdig TRT beschriebenen Methoden, die von böswilligen Akteuren eingesetzt werden, zielen speziell auf Cloud- und Container-Workloads ab.“
Die Jagd des Teams brachte mehr als 1,600 bösartige Bilder zum Vorschein, die Cryptominer, Backdoors und andere bösartige Malware enthielten, die als legitime populäre Software getarnt waren. Cryptominer waren mit Abstand am weitesten verbreitet und machten 36 % der Proben aus.
„Sicherheitsteams können sich nicht länger mit der Vorstellung täuschen, dass ‚Container zu neu oder zu kurzlebig sind, als dass sich Bedrohungsakteure darum kümmern könnten'“, sagt Stefano Chierici, leitender Sicherheitsforscher bei Sysdig und Mitautor des Berichts. „Angreifer befinden sich in der Cloud und nehmen echtes Geld. Die hohe Prävalenz von Kryptojacking-Aktivitäten ist auf das geringe Risiko und die hohe Belohnung für die Täter zurückzuführen.“
TeamTNT und Chimera
Als Teil des Berichts führten Chierici und seine Kollegen auch eine tiefgreifende technische Analyse der Taktiken, Techniken und Verfahren (TTPs) der TeamTNT-Bedrohungsgruppe durch. Die seit 2019 aktive Gruppe hat einigen Quellen zufolge während einer ihrer am weitesten verbreiteten Angriffskampagnen, Chimera, über 10,000 Cloud- und Containergeräte kompromittiert. Es ist am besten für Kryptojacking-Wurmaktivitäten bekannt, und laut dem Bericht verfeinert TeamTNT seine Skripte und seine TTPs im Jahr 2022 weiter. Beispielsweise verbindet es jetzt Skripte mit dem AWS Cloud Metadata-Service, um Anmeldeinformationen zu nutzen, die mit einer EC2-Instanz verknüpft sind, und Zugriff darauf zu erhalten andere Ressourcen, die an eine kompromittierte Instanz gebunden sind.
„Wenn mit diesen Anmeldeinformationen übermäßig viele Berechtigungen verbunden sind, könnte der Angreifer noch mehr Zugriff erhalten. Sysdig TRT glaubt, dass TeamTNT diese Anmeldeinformationen nutzen möchte, um weitere EC2-Instanzen zu erstellen, damit es seine Kryptomining-Fähigkeiten und Gewinne steigern kann“, heißt es in dem Bericht.
Als Teil seiner Analyse hat das Team eine Reihe von XMR-Wallets durchsucht, die von TeamTNT während Mining-Kampagnen verwendet wurden, um die finanziellen Auswirkungen von Kryptojacking herauszufinden.
Mithilfe einer technischen Analyse der Betriebspraktiken der Bedrohungsgruppe während der Chimera-Operation konnte Sysdig feststellen, dass der Gegner seine Opfer 11,000 US-Dollar auf einer einzigen AWS EC2-Instance für jeden von ihm abgebauten XMR gekostet hat. Die Wallets, die das Team wiedererlangte, beliefen sich auf etwa 40 XMR, was bedeutet, dass die Angreifer eine Cloud-Rechnung von fast 430,000 US-Dollar auftrieben, um diese Coins abzubauen.
Unter Verwendung der Münzbewertung von Anfang dieses Jahres schätzte der Bericht den Wert dieser Münzen auf etwa 8,100 US-Dollar, wobei die Berechnungen auf der Rückseite des Umschlags dann zeigten, dass die Bösewichte für jeden Dollar, den sie verdienen, die Opfer mindestens 53 US-Dollar allein an Cloud-Rechnungen kosten.
