Cryptojacking در حال بازگشت است و مهاجمان از طرحهای مختلفی استفاده میکنند تا قدرت پردازش آزاد را از زیرساختهای ابری استخراج کنند تا بر استخراج ارزهای دیجیتال مانند بیتکوین و مونرو تمرکز کنند.
به گفته Sysdig، ارائهدهنده امنیت برای خدمات بومی ابری، کریپتومینرها از در دسترس بودن آزمایشهای رایگان در برخی از بزرگترین خدمات یکپارچهسازی و استقرار پیوسته (CI/CD) برای استقرار کد و ایجاد پلتفرمهای استخراج توزیع شده استفاده میکنند. شرکت خدمات امنیت سایبری CrowdStrike این هفته هشدار داد که مهاجمان همچنین نمونههای Kubernetes و Docker با پیکربندی نادرست را برای دسترسی به سیستمهای میزبان و اجرای نرمافزارهای استخراج رمزنگاری هدف قرار میدهند.
Manoj Ahuje، محقق ارشد تهدید برای امنیت ابری در CrowdStrike میگوید که هر دو تاکتیک در واقع فقط تلاش میکنند تا از افزایش ارزهای دیجیتال به هزینه شخص دیگری پول نقد کنند.
او میگوید: «تا زمانی که حجم کار به خطر افتاده در دسترس باشد، در اصل، محاسبه رایگان است – برای یک کریپتوماینر، این خود یک برد است زیرا هزینه ورودی او صفر میشود.» و اگر یک مهاجم بتواند تعداد زیادی از چنین حجم کاری را به طور موثر با جمع سپاری محاسبات برای استخراج به خطر بیاندازد، به رسیدن سریعتر به هدف و استخراج بیشتر در همان زمان کمک می کند.
تلاشهای رمزنگاری با گذشت زمان افزایش یافته است، حتی با کاهش ارزش ارزهای دیجیتال در 11 ماه گذشته. برای مثال بیت کوین است نسبت به اوج خود در نوامبر 70 2021 درصد کاهش یافته است، بر بسیاری از خدمات مبتنی بر ارزهای دیجیتال تأثیر می گذارد. با این حال، آخرین حملات نشان می دهد که مجرمان سایبری به دنبال برداشتن پایین ترین میوه های آویزان هستند.
به خطر انداختن زیرساخت های ابری ارائه دهندگان ممکن است به نظر به کسب و کار آسیب نرساند، اما هزینه چنین هک هایی کاهش می یابد. Sysdig معمولاً آن مهاجم را پیدا کرد برای هر 1 دلار هزینه فقط 53 دلار بدست آورید بر عهده صاحبان زیرساخت ابری است. Sysdig تخمین میزند که استخراج یک سکه مونرو با استفاده از آزمایشهای رایگان در GitHub، برای مثال، بیش از 100,000 دلار درآمد از دست رفته آن شرکت را به همراه خواهد داشت.
کریستال مورین، محقق تهدید در Sysdig میگوید، با این حال، ممکن است شرکتها در ابتدا متوجه آسیبهای رمزنگاری نشوند.
آنها مستقیماً به کسی آسیب نمیرسانند، مانند گرفتن زیرساختهای شخصی یا سرقت دادهها از کسبوکارها، اما اگر بخواهند این را افزایش دهند، یا گروههای دیگر از این نوع عملیات استفاده کنند - «جنگ آزاد» - ممکن است به این ارائهدهندگان آسیب مالی وارد کند. او میگوید و با از بین رفتن آزمایشهای رایگان و یا وادار کردن کاربران قانونی به پرداخت بیشتر، بر روی کاربران تأثیر میگذارد.
Cryptominers در همه جا
آخرین حمله، که Sysdig آن را PURPLEURCHIN نامید، به نظر میرسد تلاشی برای ایجاد یک شبکه استخراج رمزنگاری از هر چه بیشتر سرویسهایی باشد که آزمایشهای رایگان ارائه میدهند. محققان Sysdig کشف کردند که آخرین شبکه رمزنگاری از 30 حساب GitHub، 2,000 حساب Heroku و 900 حساب Buddy استفاده می کند. گروه مجرمان سایبری یک کانتینر داکر را دانلود می کنند، یک برنامه جاوا اسکریپت را اجرا می کنند و در یک کانتینر خاص بارگیری می کنند.
مایکل کلارک، مدیر تحقیقات تهدید در Sysdig میگوید موفقیت این حمله واقعاً ناشی از تلاشهای گروه مجرمان سایبری برای خودکارسازی تا حد ممکن است.
او می گوید: «آنها واقعاً فعالیت ورود به حساب های جدید را خودکار کرده اند. آنها از بای پس های CAPTCHA، نسخه های بصری و نسخه های صوتی استفاده می کنند. آنها دامنه های جدید ایجاد می کنند و سرورهای ایمیل را بر روی زیرساختی که ساخته اند میزبانی می کنند. همه ماژولار است، بنابراین آنها دسته ای از کانتینرها را روی یک میزبان مجازی می چرخانند.
Sysdig در تجزیه و تحلیل خود بیان کرد، برای مثال، GitHub، ماهانه 2,000 دقیقه GitHub Action رایگان در سطح رایگان خود ارائه می دهد که می تواند تا 33 ساعت زمان اجرا برای هر حساب را شامل شود.
بوسه یک سگ
کمپین cryptojacking CrowdStrike کشف شد زیرساخت های آسیب پذیر Docker و Kubernetes را هدف قرار می دهد. cryptominers که کمپین Kiss-a-Dog نامیده می شود، از چندین سرور فرمان و کنترل (C2) برای انعطاف پذیری استفاده می کنند و از روت کیت ها برای جلوگیری از شناسایی استفاده می کنند. این شامل انواع مختلفی از قابلیتهای دیگر است، مانند قرار دادن درهای پشتی در هر کانتینر در معرض خطر و استفاده از تکنیکهای دیگر برای به دست آوردن پایداری.
تکنیکهای حمله شبیه تکنیکهای سایر گروههایی است که توسط CrowdStrike بررسی شدهاند، از جمله LemonDuck و Watchdog. CrowdStrike در مشاوره خود اعلام کرد، اما اکثر تاکتیکها مشابه TeamTNT هستند که زیرساختهای آسیبپذیر و پیکربندی نادرست Docker و Kubernetes را نیز هدف قرار میدهند.
به گفته آهوجی CrowdStrike، در حالی که ممکن است چنین حملاتی مانند یک رخنه به نظر نرسد، شرکتها باید هرگونه نشانهای مبنی بر دسترسی مهاجمان به زیرساخت ابری خود را جدی بگیرند.
او میگوید: «وقتی مهاجمان یک cryptominer را در محیط شما اجرا میکنند، این نشانهای است که اولین خط دفاعی شما شکست خورده است. کریپتوماینرها برای بهره برداری از این سطح حمله به نفع خود، سنگ تمام نمی گذارند.