Cryptojacking, Freejacking Compromise Cloud Infrastructure

Cryptojacking در حال بازگشت است و مهاجمان از طرح‌های مختلفی استفاده می‌کنند تا قدرت پردازش آزاد را از زیرساخت‌های ابری استخراج کنند تا بر استخراج ارزهای دیجیتال مانند بیت‌کوین و مونرو تمرکز کنند.

به گفته Sysdig، ارائه‌دهنده امنیت برای خدمات بومی ابری، کریپتومینرها از در دسترس بودن آزمایش‌های رایگان در برخی از بزرگترین خدمات یکپارچه‌سازی و استقرار پیوسته (CI/CD) برای استقرار کد و ایجاد پلتفرم‌های استخراج توزیع شده استفاده می‌کنند. شرکت خدمات امنیت سایبری CrowdStrike این هفته هشدار داد که مهاجمان همچنین نمونه‌های Kubernetes و Docker با پیکربندی نادرست را برای دسترسی به سیستم‌های میزبان و اجرای نرم‌افزارهای استخراج رمزنگاری هدف قرار می‌دهند.

Manoj Ahuje، محقق ارشد تهدید برای امنیت ابری در CrowdStrike می‌گوید که هر دو تاکتیک در واقع فقط تلاش می‌کنند تا از افزایش ارزهای دیجیتال به هزینه شخص دیگری پول نقد کنند.

او می‌گوید: «تا زمانی که حجم کار به خطر افتاده در دسترس باشد، در اصل، محاسبه رایگان است – برای یک کریپتوماینر، این خود یک برد است زیرا هزینه ورودی او صفر می‌شود.» و اگر یک مهاجم بتواند تعداد زیادی از چنین حجم کاری را به طور موثر با جمع سپاری محاسبات برای استخراج به خطر بیاندازد، به رسیدن سریعتر به هدف و استخراج بیشتر در همان زمان کمک می کند.

تلاش‌های رمزنگاری با گذشت زمان افزایش یافته است، حتی با کاهش ارزش ارزهای دیجیتال در 11 ماه گذشته. برای مثال بیت کوین است نسبت به اوج خود در نوامبر 70 2021 درصد کاهش یافته است، بر بسیاری از خدمات مبتنی بر ارزهای دیجیتال تأثیر می گذارد. با این حال، آخرین حملات نشان می دهد که مجرمان سایبری به دنبال برداشتن پایین ترین میوه های آویزان هستند.

به خطر انداختن زیرساخت های ابری ارائه دهندگان ممکن است به نظر به کسب و کار آسیب نرساند، اما هزینه چنین هک هایی کاهش می یابد. Sysdig معمولاً آن مهاجم را پیدا کرد برای هر 1 دلار هزینه فقط 53 دلار بدست آورید بر عهده صاحبان زیرساخت ابری است. Sysdig تخمین می‌زند که استخراج یک سکه مونرو با استفاده از آزمایش‌های رایگان در GitHub، برای مثال، بیش از 100,000 دلار درآمد از دست رفته آن شرکت را به همراه خواهد داشت.

کریستال مورین، محقق تهدید در Sysdig می‌گوید، با این حال، ممکن است شرکت‌ها در ابتدا متوجه آسیب‌های رمزنگاری نشوند.

آنها مستقیماً به کسی آسیب نمی‌رسانند، مانند گرفتن زیرساخت‌های شخصی یا سرقت داده‌ها از کسب‌وکارها، اما اگر بخواهند این را افزایش دهند، یا گروه‌های دیگر از این نوع عملیات استفاده کنند - «جنگ آزاد» - ممکن است به این ارائه‌دهندگان آسیب مالی وارد کند. او می‌گوید و با از بین رفتن آزمایش‌های رایگان و یا وادار کردن کاربران قانونی به پرداخت بیشتر، بر روی کاربران تأثیر می‌گذارد.

Cryptominers در همه جا

آخرین حمله، که Sysdig آن را PURPLEURCHIN نامید، به نظر می‌رسد تلاشی برای ایجاد یک شبکه استخراج رمزنگاری از هر چه بیشتر سرویس‌هایی باشد که آزمایش‌های رایگان ارائه می‌دهند. محققان Sysdig کشف کردند که آخرین شبکه رمزنگاری از 30 حساب GitHub، 2,000 حساب Heroku و 900 حساب Buddy استفاده می کند. گروه مجرمان سایبری یک کانتینر داکر را دانلود می کنند، یک برنامه جاوا اسکریپت را اجرا می کنند و در یک کانتینر خاص بارگیری می کنند.

مایکل کلارک، مدیر تحقیقات تهدید در Sysdig می‌گوید موفقیت این حمله واقعاً ناشی از تلاش‌های گروه مجرمان سایبری برای خودکارسازی تا حد ممکن است.

او می گوید: «آنها واقعاً فعالیت ورود به حساب های جدید را خودکار کرده اند. آنها از بای پس های CAPTCHA، نسخه های بصری و نسخه های صوتی استفاده می کنند. آنها دامنه های جدید ایجاد می کنند و سرورهای ایمیل را بر روی زیرساختی که ساخته اند میزبانی می کنند. همه ماژولار است، بنابراین آنها دسته ای از کانتینرها را روی یک میزبان مجازی می چرخانند.

Sysdig در تجزیه و تحلیل خود بیان کرد، برای مثال، GitHub، ماهانه 2,000 دقیقه GitHub Action رایگان در سطح رایگان خود ارائه می دهد که می تواند تا 33 ساعت زمان اجرا برای هر حساب را شامل شود.

بوسه یک سگ

کمپین cryptojacking CrowdStrike کشف شد زیرساخت های آسیب پذیر Docker و Kubernetes را هدف قرار می دهد. cryptominers که کمپین Kiss-a-Dog نامیده می شود، از چندین سرور فرمان و کنترل (C2) برای انعطاف پذیری استفاده می کنند و از روت کیت ها برای جلوگیری از شناسایی استفاده می کنند. این شامل انواع مختلفی از قابلیت‌های دیگر است، مانند قرار دادن درهای پشتی در هر کانتینر در معرض خطر و استفاده از تکنیک‌های دیگر برای به دست آوردن پایداری.

تکنیک‌های حمله شبیه تکنیک‌های سایر گروه‌هایی است که توسط CrowdStrike بررسی شده‌اند، از جمله LemonDuck و Watchdog. CrowdStrike در مشاوره خود اعلام کرد، اما اکثر تاکتیک‌ها مشابه TeamTNT هستند که زیرساخت‌های آسیب‌پذیر و پیکربندی نادرست Docker و Kubernetes را نیز هدف قرار می‌دهند.

به گفته آهوجی CrowdStrike، در حالی که ممکن است چنین حملاتی مانند یک رخنه به نظر نرسد، شرکت‌ها باید هرگونه نشانه‌ای مبنی بر دسترسی مهاجمان به زیرساخت ابری خود را جدی بگیرند.

او می‌گوید: «وقتی مهاجمان یک cryptominer را در محیط شما اجرا می‌کنند، این نشانه‌ای است که اولین خط دفاعی شما شکست خورده است. کریپتوماینرها برای بهره برداری از این سطح حمله به نفع خود، سنگ تمام نمی گذارند.