Cryptojacking, Freejacking vaarantavat pilviinfrastruktuurin

Cryptojacking hiipii takaisin, ja hyökkääjät käyttävät erilaisia ​​​​järjestelmiä vapauttaakseen prosessointitehoa pilviinfrastruktuurista keskittyäkseen kryptovaluuttojen, kuten Bitcoinin ja Moneron, louhintaan.

Sysdigin, pilvipohjaisten palveluiden tietoturvan toimittajan mukaan kryptomineraajat käyttävät ilmaisia ​​kokeiluversioita joissakin suurimmista jatkuvan integroinnin ja käyttöönoton (CI/CD) palveluista koodin käyttöönottoon ja hajautettujen kaivosalustojen luomiseen. Hyökkääjät joutuvat myös väärin konfiguroituihin Kubernetes- ja Docker-esiintymiin päästäkseen isäntäjärjestelmiin ja ajamaan kryptominointiohjelmistoja, kyberturvallisuuspalveluyritys CrowdStrike varoitti tällä viikolla.

Molemmat taktiikat ovat todellakin vain yrityksiä lunastaa digitaalisten valuuttojen nousua jonkun toisen kustannuksella, sanoo Manoj Ahuje, CrowdStriken pilviturvallisuuden vanhempi uhkatutkija.

"Niin kauan kuin vaarantunut työmäärä on käytettävissä, se on pohjimmiltaan ilmaista laskentaa - kryptomeerille se on sinänsä voitto, koska hänen panoskustannukset ovat nolla", hän sanoo. "Ja… jos hyökkääjä voi vaarantaa suuren joukon tällaisia ​​työkuormia tehokkaasti joutilastamalla kaivoslaskentaa, se auttaa saavuttamaan tavoitteen nopeammin ja louhimaan enemmän samassa ajassa."

Kryptomineraustyöt lisääntyvät ajan myötä, vaikka kryptovaluuttojen arvo on romahtanut viimeisen 11 kuukauden aikana. Esimerkiksi Bitcoin on 70 % vähemmän kuin marraskuussa 2021, joka vaikuttaa moniin kryptovaluuttapohjaisiin palveluihin. Viimeisimmät hyökkäykset osoittavat kuitenkin, että kyberrikolliset pyrkivät poimimaan alhaisimman roikkuvan hedelmän.

Palveluntarjoajien pilviinfrastruktuurin vaarantaminen ei välttämättä näytä vahingoittavan yrityksiä, mutta tällaisten hakkerien kustannukset putoavat alas. Sysdig löysi hyökkääjän tyypillisesti ansaitse vain 1 dollari jokaista 53 dollaria kohden pilviinfrastruktuurin omistajat maksavat. Sysdig arvioi, että yhden Monero-kolikon louhinta käyttämällä ilmaisia ​​kokeiluversioita GitHubissa esimerkiksi maksaisi tälle yritykselle yli 100,000 XNUMX dollaria menetettyjä tuloja.

Yritykset eivät kuitenkaan välttämättä aluksi näe kryptominoinnin haittaa, sanoo uhkatutkija Crystal Morin Sysdigistä.

"He eivät vahingoita ketään suoraan, kuten ottamalla jonkun infrastruktuurin tai varastamalla tietoja yrityksiltä, ​​mutta jos he laajentaisivat tätä tai muut ryhmät käyttäisivät hyväkseen tällaista toimintaa - "freejacking" -, se voi alkaa vahingoittaa näitä palveluntarjoajia taloudellisesti. ja vaikuttaa – takapäähän – käyttäjiin, jolloin ilmaiset kokeilut poistuvat tai lailliset käyttäjät pakotetaan maksamaan enemmän”, hän sanoo.

Cryptominers kaikkialla

Viimeisin hyökkäys, jonka Sysdig kutsui PURPLEURCHINiksi, näyttää olevan yritys koota kryptominointiverkko mahdollisimman monista ilmaisia ​​kokeiluja tarjoavista palveluista. Sysdigin tutkijat havaitsivat, että uusin kryptominointiverkko käytti 30 GitHub-tiliä, 2,000 900 Heroku-tiliä ja XNUMX Buddy-tiliä. Kyberrikollisryhmä lataa Docker-säilön, suorittaa JavaScript-ohjelman ja lataa tiettyyn säilöön.

Hyökkäyksen onnistumista ohjaa todella kyberrikollisryhmän pyrkimys automatisoida mahdollisimman paljon, Sysdigin uhkatutkimuksen johtaja Michael Clark sanoo.

"He ovat todella automatisoineet uusille tileille pääsyn", hän sanoo. "He käyttävät CAPTCHA-ohituksia, visuaalisia ja ääniversioita. He luovat uusia verkkotunnuksia ja isännöivät sähköpostipalvelimia rakentamaansa infrastruktuuriin. Se on kaikki modulaarista, joten he muodostavat joukon konttia virtuaalipalvelimelle."

Esimerkiksi GitHub tarjoaa 2,000 33 ilmaista GitHub Action -minuuttia kuukaudessa ilmaisella tasollaan, mikä voi vastata jopa XNUMX tuntia jokaiselle tilille, Sysdig totesi analyysissaan.

Kiss-a-Dog

Kryptauskampanja CrowdStrike löytyi kohdistuu haavoittuvaan Docker- ja Kubernetes-infrastruktuuriin. Kiss-a-Dog-kampanjaksi kutsutut kryptominerit käyttävät useita komento- ja ohjauspalvelimia (C2) joustavuuden lisäämiseksi ja käyttävät rootkit-paketteja havaitsemisen välttämiseksi. Se sisältää monia muita ominaisuuksia, kuten takaovien sijoittamisen mihin tahansa vaarantuneeseen säiliöön ja muiden tekniikoiden käyttämisen pysyvyyden saavuttamiseksi.

Hyökkäystekniikat muistuttavat muiden CrowdStriken tutkimien ryhmien, mukaan lukien LemonDuckin ja Watchdogin, hyökkäystekniikoita. Mutta suurin osa taktiikoista on samanlainen kuin TeamTNT, joka myös kohdistui haavoittuvaan ja väärin määritettyyn Docker- ja Kubernetes-infrastruktuuriin, CrowdStrike totesi neuvonnassaan.

Vaikka tällaiset hyökkäykset eivät ehkä tunnu rikkomukselta, yritysten tulisi ottaa vakavasti kaikki merkit, jotka osoittavat, että hyökkääjillä on pääsy heidän pilviinfrastruktuuriinsa, CrowdStriken Ahuje sanoo.

"Kun hyökkääjät käyttävät kryptomeria ympäristössäsi, tämä on oire siitä, että ensimmäinen puolustuslinjasi on epäonnistunut", hän sanoo. "Cryptominers eivät jätä mitään kiveä kääntämättä hyödyntääkseen tätä hyökkäyspintaa omaksi edukseen."