Ohud pilvepõhise infrastruktuuri vastu on tõusuteel, eriti kuna ründajad sihivad pilve- ja konteineriressursse, et oma ebaseaduslikke krüptomineerimistoiminguid käivitada. Viimase keerdkäiguna hävitavad küberkurjategijad pilveressursse, et levitada ja juhtida krüptotöötlemisettevõtteid kulukate skeemide abil, mis maksavad ohvritele umbes 50 dollarit pilveressursse iga 1 dollari väärtuses krüptovaluuta kohta, mille kelmid nendest arvutusreservidest kaevandavad.
Nii selgub Sysdigi täna avaldatud uuest raportist, mis näitab, et kuigi pahalased ründavad valimatult kõiki nõrku pilve- või konteinerressursse, mida nad saavad raha teenivate krüptomineerimisskeemide käivitamiseks, on nad selles ka osavalt strateegilised.
Tegelikult on paljud kõige kavalamad tarkvara tarneahela rünnakud suures osas mõeldud krüptokaevurite tekitamiseks nakatunud konteineripiltide kaudu. Sysdigi andmetel ei kasuta ründajad mitte ainult lähtekoodisõltuvusi, mida kõige sagedamini arvatakse solvavate tarneahela rünnakute puhul, vaid ka pahatahtlikke konteineripilte tõhusa ründevahendina.2022. aasta pilvepõhise ohu aruanne. "
Küberkurjategijad kasutavad ära arenduskogukonna suundumust jagada koodi ja avatud lähtekoodiga projekte eelnevalt valmistatud konteineripiltide kaudu konteineriregistrite (nt Docker Hub) kaudu. Konteinerkujutistele on kogu vajalik tarkvara installitud ja konfigureeritud hõlpsasti juurutatava töökoormusega. Kuigi see on arendajatele tõsine aja kokkuhoid, avab see ründajatele ka võimaluse luua pilte, millel on sisseehitatud pahatahtlikud kasulikud koormused, ja seejärel külvata platvorme, nagu DockerHub oma pahatahtlike toodetega. Pahatahtliku pildi käivitamiseks piisab, kui arendaja käivitab platvormilt Dockeri tõmbamispäringu. Veelgi enam, Docker Hubi allalaadimine ja installimine on läbipaistmatu, mistõttu on võimalike probleemide tuvastamine veelgi raskem.
"On selge, et konteinerikujutistest on saanud tõeline rünnakute vektor, mitte teoreetiline risk," selgitati aruandes, mille jaoks Sysdigi ohtude uurimisrühm (TRT) läbis kuude pikkuse protsessi, mille käigus sõelusid kasutajad üle maailma üles laaditud avalikke konteineripilte. DockerHub pahatahtlike juhtumite leidmiseks. "Sysdig TRT kirjeldatud pahatahtlike osalejate kasutatavad meetodid on spetsiaalselt suunatud pilve ja konteineri töökoormusele."
Meeskonna jahi käigus leiti üle 1,600 pahatahtliku pildi, mis sisaldasid krüptokaevureid, tagauksi ja muud vastikut pahavara, mis olid maskeeritud legitiimse populaarse tarkvarana. Krüptokaevurid olid kaugelt kõige levinumad, moodustades 36% proovidest.
"Turvameeskonnad ei saa enam petta end mõttega, et "konteinerid on liiga uued või liiga lühiajalised, et ohus osalejad neid häirida," ütleb Sysdigi vanemturbeteadur ja raporti kaasautor Stefano Chierici. "Ründajad on pilves ja võtavad päris raha. Krüptorahastamise tegevuse kõrge levimus on tingitud kurjategijate madalast riskist ja kõrgest tasust.
TeamTNT ja Chimera
Aruande osana tegi Chierici ja tema kolleegid ka TeamTNT ohurühma taktikate, tehnikate ja protseduuride (TTP) põhjaliku tehnilise analüüsi. Alates 2019. aastast aktiivne grupp on mõne allika kohaselt ohustanud üle 10,000 2022 pilve- ja konteinerseadme oma ühe levinuima ründekampaania Chimera ajal. See on enim tuntud krüptokojaga usside tegevuse poolest ning aruande kohaselt jätkab TeamTNT oma skriptide ja TTP-de täiustamist 2. aastal. Näiteks ühendab see nüüd skriptid teenusega AWS Cloud Metadata, et kasutada ära ECXNUMX eksemplariga seotud mandaate ja saada juurdepääs muud ohustatud eksemplariga seotud ressursid.
"Kui nende mandaatidega on seotud liigsed õigused, võib ründaja saada veelgi suurema juurdepääsu. Sysdig TRT usub, et TeamTNT sooviks võimaluse korral neid volitusi kasutada, et luua rohkem EC2 eksemplare, et saaks suurendada oma krüptomineerimisvõimalusi ja kasumit, ”öeldi aruandes.
Analüüsi osana uuris meeskond mitmeid XMR-i rahakotte, mida TeamTNT kaevanduskampaaniate ajal kasutas, et välja selgitada krüptorahastamise finantsmõju.
Kasutades Chimera operatsiooni ajal ohurühma tegevuspraktikate tehnilist analüüsi, suutis Sysdig leida, et vastane läks oma ohvritele maksma 11,000 2 dollarit ühe AWS EC40 eksemplari eest iga kaevandatud XMR-i kohta. Meeskonna kätte saadud rahakotid ulatusid umbes 430,000 XMR-i, mis tähendab, et ründajad kogusid müntide kaevandamiseks ligi XNUMX XNUMX dollari suuruse pilvearve.
Aruandes hinnati selle aasta alguses müntide hindamist kasutades nende müntide väärtus ligikaudu 8,100 dollarit, kusjuures ümbriku tagaküljel olev pilt näitas, et iga pahalaste teenitud dollari eest maksavad nad ohvritele ainuüksi pilvearvete näol vähemalt 53 dollarit.
