A felhőalapú infrastruktúra elleni fenyegetések egyre nőnek, különösen amiatt, hogy a támadók felhő- és konténer-erőforrásokat céloznak meg tiltott kriptográfiai műveleteik végrehajtása érdekében. A legújabb csavar szerint a kiberbűnözők pusztítást végeznek a felhő-erőforrásokon, hogy kriptográfiai eszközöket terjeszthessenek és működtethessenek költséges konstrukciókban, amelyek az áldozatoknak körülbelül 50 dollár felhőalapú erőforrásba kerülnek minden 1 dollár értékű kriptovaluta után, amelyet a csalók kibányásznak ezekből a számítási tartalékokból.
Ez a Sysdig új jelentése szerint, amely azt mutatja, hogy bár a rosszfiúk válogatás nélkül megtámadnak minden gyenge felhő- vagy konténer-erőforrást, amelyre a kezükbe kerülhetnek a pénzkereső kriptográfiai sémák működtetése, ugyanakkor ügyesen stratégiailag is foglalkoznak ezzel.
Valójában a szoftver-ellátási lánc legravaszabb támadásai közül sok nagyrészt arra szolgál, hogy fertőzött konténerképeken keresztül kriptobányászokat indítsanak el. A támadók nemcsak a forráskód-függőségeket használják ki, amelyekre a leggyakrabban gondolnak a támadó ellátási lánc támadásai során, hanem a rosszindulatú konténerképeket is hatékony támadási eszközként használják fel a Sysdig szerint.2022-es Cloud-native Threat Report. "
A kiberbűnözők kihasználják a fejlesztői közösség azon tendenciáját, hogy kódot és nyílt forráskódú projekteket osztanak meg előre elkészített konténerképeken keresztül, olyan konténer-nyilvántartásokon keresztül, mint a Docker Hub. A konténerképekre az összes szükséges szoftver telepítve és konfigurálva van egy könnyen telepíthető munkaterheléssel. Noha ez komoly időmegtakarítást jelent a fejlesztők számára, utat nyit a támadók számára, hogy olyan képeket hozzanak létre, amelyekben rosszindulatú rakományok vannak beépítve, majd olyan platformokra, mint a DockerHub a rosszindulatú áruikkal. A fejlesztőnek mindössze egy Docker-lehívási kérelmet kell futtatnia a platformról, hogy a rosszindulatú képfájl futhasson. Ráadásul a Docker Hub letöltése és telepítése átláthatatlan, így még nehezebb észrevenni a lehetséges problémákat.
„Egyértelmű, hogy a konténerképek valóságos támadási vektorokká váltak, nem pedig elméleti kockázatokká” – magyarázta a jelentés, amelyre a Sysdig Threat Research Team (TRT) egy hónapig tartó folyamaton ment keresztül, hogy átszűrje a felhasználók által világszerte feltöltött nyilvános konténerképeket. DockerHub a rosszindulatú példányok megtalálásához. "A Sysdig TRT által leírt, rosszindulatú szereplők által alkalmazott módszerek kifejezetten a felhő- és tárolóterhelésekre irányulnak."
A csapat vadászata több mint 1,600 rosszindulatú képre bukkant, amelyek kriptobányászokat, hátsó ajtókat és más csúnya rosszindulatú programokat tartalmaztak legitim népszerű szoftvernek álcázva. A kriptobányászok messze a legelterjedtebbek voltak, a minták 36%-át tették ki.
„A biztonsági csapatok többé nem áltathatják magukat azzal a gondolattal, hogy „a konténerek túl újak vagy túl múlékonyak ahhoz, hogy a fenyegetés szereplői zavarjanak” – mondja Stefano Chierici, a Sysdig vezető biztonsági kutatója és a jelentés társszerzője. „A támadók a felhőben vannak, és valódi pénzt szednek. A cryptojacking tevékenység magas elterjedtsége az elkövetők alacsony kockázatának és magas jutalmának tudható be.”
TeamTNT és Chimera
A jelentés részeként Chierici és kollégái mélyreható technikai elemzést végeztek a TeamTNT fenyegetéscsoport taktikáiról, technikáiról és eljárásairól (TTP-k). A 2019 óta működő csoport egyes források szerint több mint 10,000 2022 felhő- és konténereszközt veszélyeztetett egyik legelterjedtebb támadási kampánya, a Chimera során. Leginkább a titkosító férgek tevékenységéről ismert, és a jelentés szerint a TeamTNT 2-ben folytatja szkriptjei és TTP-jei finomítását. Például most már összekapcsolja a szkripteket az AWS Cloud Metadata szolgáltatással, hogy kihasználja az ECXNUMX-példányhoz társított hitelesítő adatokat, és hozzáférjen a a feltört példányhoz kötött egyéb erőforrások.
„Ha ezekhez a hitelesítő adatokhoz túl sok engedély kapcsolódik, a támadó még több hozzáférést kaphat. A Sysdig TRT úgy véli, hogy a TeamTNT szeretné kihasználni ezeket a hitelesítő adatokat, ha képes, hogy több EC2 példányt hozzon létre, hogy növelhesse kriptomásolási képességeit és nyereségét” – áll a jelentésben.
Elemzése részeként a csapat számos XMR pénztárcába ásott bele, amelyeket a TeamTNT bányászati kampányai során használt, hogy kiderítse a kriptojakkolás pénzügyi hatását.
A Chimera hadművelet során a fenyegetéscsoport műveleti gyakorlatának technikai elemzését felhasználva a Sysdig megállapította, hogy az ellenfél 11,000 2 dollárba került áldozatainak egyetlen AWS EC40 példányon minden általa bányászott XMR után. A csapat által visszaszerzett pénztárcák körülbelül 430,000 XMR-t tettek ki, ami azt jelenti, hogy a támadók közel XNUMX XNUMX dolláros felhőszámlát hajtottak fel, hogy kibányászják ezeket az érméket.
Az év eleji érmeértékelés alapján a jelentés 8,100 dollárra becsülte ezeknek az érméknek az értékét, a boríték hátoldala pedig azt mutatja, hogy a rosszfiúk minden egyes dollárja után legalább 53 dollárba kerül az áldozatoknak felhőalapú számlákban.
