Pilvipohjaiseen infrastruktuuriin kohdistuvat uhat ovat lisääntymässä, etenkin kun hyökkääjät kohdistavat pilvi- ja konttiresursseihin laittomien kryptominointitoimintojensa tehostamista. Viimeisimmässä käänteessä kyberrikolliset aiheuttavat tuhoa pilviresursseille levittääkseen ja johtaakseen kryptojausyrityksiä kalliilla järjestelmillä, jotka maksavat uhreille noin 50 dollaria pilviresursseja jokaista yhden dollarin arvoista kryptovaluuttaa kohden, jonka roistot louhivat näistä laskentavarannoista.
Tämä käy ilmi Sysdigin tänään julkaisemasta uudesta raportista, joka osoittaa, että vaikka pahikset hyökkäävät umpimähkäisesti kaikkia heikkoja pilvi- tai konttiresursseja vastaan, joita he voivat saada käsiinsä saadakseen voimaa rahaa tuottaviin kryptominointijärjestelmiin, he ovat myös taitavasti strategisia siinä.
Itse asiassa monet ovelimmista ohjelmistojen toimitusketjun hyökkäyksistä on suurelta osin suunniteltu synnyttämään kryptomoijia tartunnan saaneiden säiliökuvien kautta. Sysdigin mukaan hyökkääjät eivät ainoastaan hyödynnä lähdekoodiriippuvuuksia, joita yleisimmin ajateltiin loukkaavissa toimitusketjuhyökkäyksissä, vaan myös haitallisia konttikuvia tehokkaana hyökkäysvälineenä.2022 Cloud-Native Threat Report"
Kyberrikolliset hyödyntävät kehitysyhteisön suuntausta jakaa koodia ja avoimen lähdekoodin projekteja valmiiden säilökuvien kautta konttirekisterien, kuten Docker Hubin, kautta. Säiliökuvissa on kaikki tarvittavat ohjelmistot asennettuna ja konfiguroituina helposti otettavassa työkuormassa. Vaikka tämä onkin vakava ajansäästö kehittäjille, se avaa myös hyökkääjille mahdollisuuden luoda kuvia, joissa on sisäänrakennettuja haitallisia hyötykuormia, ja sitten levittää DockerHubin kaltaisille alustoille haitallisia tuotteita. Tarvitsee vain, että kehittäjä suorittaa Dockerin vetopyynnön alustalta saadakseen haitallisen kuvan toimimaan. Lisäksi Docker Hubin lataus ja asennus on läpinäkymätöntä, mikä tekee mahdollisten ongelmien havaitsemisen entistä vaikeammaksi.
"On selvää, että konttikuvista on tullut todellinen hyökkäysvektori teoreettisen riskin sijasta", raportissa selitettiin, jonka Sysdig Threat Research Team (TRT) kävi läpi kuukausien prosessin, jossa seulottiin käyttäjien maailmanlaajuisesti lataamia julkisia konttikuvia. DockerHub löytääkseen haitallisia tapauksia. "Sysdig TRT:n kuvaamat haitallisten toimijoiden käyttämät menetelmät on kohdistettu erityisesti pilvi- ja konttityökuormiin."
Ryhmän metsästys paljasti yli 1,600 36 haitallista kuvaa, jotka sisälsivät kryptomineraajia, takaovia ja muita ilkeitä haittaohjelmia naamioituina laillisiksi suosituiksi ohjelmistoiksi. Kryptomineraajat olivat ylivoimaisesti yleisimpiä, ja niiden osuus näytteistä oli XNUMX prosenttia.
"Turvallisuustiimit eivät voi enää huijata itseään ajatuksella, että "säiliöt ovat liian uusia tai liian lyhytaikaisia uhkatekijöiden häiritsemiseksi", sanoo Stefano Chierici, Sysdigin vanhempi tietoturvatutkija ja raportin toinen kirjoittaja. "Hyökkääjät ovat pilvessä, ja he vievät oikeaa rahaa. Kryptaustoiminnan suuri esiintyvyys johtuu tekijöiden alhaisesta riskistä ja korkeasta palkkiosta.
TeamTNT ja Chimera
Osana raporttia Chierici ja hänen kollegansa tekivät myös syvällisen teknisen analyysin TeamTNT-uhkaryhmän taktiikoista, tekniikoista ja menettelyistä (TTP). Vuodesta 2019 lähtien toiminut ryhmä on joidenkin lähteiden mukaan vaarantanut yli 10,000 2022 pilvi- ja konttilaitetta yhden yleisimmistä hyökkäyskampanjoistaan, Chimerasta. Se tunnetaan parhaiten kryptojacking matotoiminnastaan, ja raportin mukaan TeamTNT jatkaa skriptien ja TTP:idensä hiomista vuonna 2. Se esimerkiksi yhdistää nyt komentosarjat AWS Cloud Metadata -palveluun hyödyntääkseen ECXNUMX-instanssiin liittyviä valtuustietoja ja päästäkseen muut vaarantuneeseen ilmentymään sidotut resurssit.
"Jos näihin tunnistetietoihin liittyy liikaa käyttöoikeuksia, hyökkääjä voi saada vielä enemmän käyttöoikeuksia. Sysdig TRT uskoo, että TeamTNT haluaisi hyödyntää näitä valtuustietoja, jos mahdollista, luodakseen lisää EC2-esiintymiä, jotta se voisi lisätä kryptominointikykyään ja voittojaan”, raportissa todetaan.
Osana analyysiään tiimi kaivautui useisiin XMR-lompakoihin, joita TeamTNT käytti kaivoskampanjoiden aikana selvittääkseen kryptojauksen taloudellisia vaikutuksia.
Hyödyntämällä teknistä analyysia uhkaryhmän toimintatavoista Chimera-operaation aikana, Sysdig havaitsi, että vastustaja maksoi uhreilleen 11,000 2 dollaria yhdellä AWS EC40 -esiintymillä jokaista louhittuaan XMR:ää kohden. Joukkueen talteenottomat lompakot olivat noin 430,000 XMR:tä, mikä tarkoittaa, että hyökkääjät ajoivat lähes XNUMX XNUMX dollarin pilvilaskun louhiakseen kolikoita.
Raportissa arvioitiin aiemman tämän vuoden kolikoiden arvoa käyttämällä noin 8,100 53 dollaria, ja kirjekuoren taustakuva osoitti, että jokaista pahisten ansaitsemaa dollaria kohden he maksavat uhreille vähintään XNUMX dollaria pilvilaskuina.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
