Les menaces contre les infrastructures cloud natives sont en augmentation, d’autant plus que les attaquants ciblent les ressources cloud et les conteneurs pour alimenter leurs opérations illicites de cryptomining. Dernièrement, les cybercriminels sèment le chaos dans les ressources cloud pour propager et gérer des entreprises de cryptojacking dans le cadre de stratagèmes coûteux qui coûtent aux victimes environ 50 $ en ressources cloud pour chaque dollar de cryptomonnaie que les escrocs exploitent à partir de ces réserves de calcul.
C'est ce que révèle un nouveau rapport publié aujourd'hui par Sysdig, qui montre que même si les méchants attaquent sans discernement toutes les ressources cloud ou conteneurs faibles sur lesquels ils peuvent mettre la main pour alimenter des systèmes de cryptominage lucratifs, ils sont également intelligemment stratégiques à ce sujet.
En fait, bon nombre des attaques de chaîne logistique logicielle les plus astucieuses sont en grande partie conçues pour générer des cryptomineurs via des images de conteneurs infectées. Les attaquants exploitent non seulement les dépendances du code source les plus souvent évoquées dans les attaques offensives de la chaîne d'approvisionnement, mais ils exploitent également les images de conteneurs malveillants comme véhicule d'attaque efficace, selon Sysdig : «Rapport 2022 sur les menaces liées au cloud. »
Les cybercriminels profitent de la tendance au sein de la communauté de développement pour partager du code et des projets open source via des images de conteneurs prédéfinies via des registres de conteneurs comme Docker Hub. Les images de conteneurs disposent de tous les logiciels requis installés et configurés dans une charge de travail facile à déployer. Bien que cela représente un gain de temps considérable pour les développeurs, cela ouvre également la possibilité aux attaquants de créer des images contenant des charges utiles malveillantes intégrées, puis d'ensemencer des plates-formes comme DockerHub avec leurs produits malveillants. Il suffit qu'un développeur exécute une demande d'extraction Docker depuis la plate-forme pour que cette image malveillante s'exécute. De plus, le téléchargement et l'installation de Docker Hub sont opaques, ce qui rend encore plus difficile la détection des problèmes potentiels.
"Il est clair que les images de conteneurs sont devenues un véritable vecteur d'attaque, plutôt qu'un risque théorique", explique le rapport, pour lequel l'équipe de recherche sur les menaces de Sysdig (TRT) a passé des mois à passer au crible les images de conteneurs publiques téléchargées par les utilisateurs du monde entier sur DockerHub pour trouver les instances malveillantes. « Les méthodes employées par les acteurs malveillants décrites par Sysdig TRT ciblent spécifiquement les charges de travail du cloud et des conteneurs. »
La recherche de l'équipe a révélé plus de 1,600 36 images malveillantes contenant des cryptomineurs, des portes dérobées et d'autres logiciels malveillants déguisés en logiciels populaires légitimes. Les cryptomineurs étaient de loin les plus répandus, représentant XNUMX % des échantillons.
« Les équipes de sécurité ne peuvent plus se leurrer en pensant que « les conteneurs sont trop récents ou trop éphémères pour que les acteurs malveillants s'en soucient » », déclare Stefano Chierici, chercheur principal en sécurité chez Sysdig et co-auteur du rapport. « Les attaquants sont dans le cloud et prennent de l’argent réel. La forte prévalence des activités de cryptojacking est attribuable au faible risque et à la récompense élevée pour les auteurs.
TeamTNT et Chimère
Dans le cadre du rapport, Chierici et ses collègues ont également effectué une analyse technique approfondie des tactiques, techniques et procédures (TTP) du groupe de menace TeamTNT. Actif depuis 2019, le groupe aurait, selon certaines sources, compromis plus de 10,000 2022 appareils cloud et conteneurs lors de l'une de ses campagnes d'attaque les plus répandues, Chimera. Il est surtout connu pour l'activité des vers de cryptojacking et, selon le rapport, TeamTNT continue d'affiner ses scripts et ses TTP en 2. Par exemple, il connecte désormais les scripts au service AWS Cloud Metadata pour exploiter les informations d'identification associées à une instance ECXNUMX et accéder à d'autres ressources liées à une instance compromise.
« Si des autorisations excessives sont associées à ces informations d’identification, l’attaquant pourrait obtenir encore plus d’accès. Sysdig TRT estime que TeamTNT voudrait exploiter ces informations d'identification, si possible, pour créer davantage d'instances EC2 afin d'augmenter ses capacités de cryptominage et ses bénéfices », indique le rapport.
Dans le cadre de son analyse, l’équipe a fouillé un certain nombre de portefeuilles XMR utilisés par TeamTNT lors de campagnes minières pour déterminer l’impact financier du cryptojacking.
En utilisant une analyse technique des pratiques opérationnelles du groupe menaçant lors de l'opération Chimera, Sysdig a pu découvrir que l'adversaire avait coûté à ses victimes 11,000 2 $ sur une seule instance AWS EC40 pour chaque XMR extrait. Les portefeuilles récupérés par l'équipe s'élevaient à environ 430,000 XMR, ce qui signifie que les attaquants ont augmenté une facture cloud de près de XNUMX XNUMX $ pour extraire ces pièces.
En utilisant l'évaluation des pièces du début de cette année, le rapport estime que la valeur de ces pièces est égale à environ 8,100 53 dollars, le dos de l'enveloppe montrant ensuite que pour chaque dollar gagné par les méchants, ils coûtent aux victimes au moins XNUMX dollars en factures cloud uniquement.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
