クラウド ネイティブ インフラストラクチャに対する脅威は増加しています。特に、攻撃者がクラウドとコンテナのリソースを標的にして、違法なクリプトマイニング操作を強化しているためです。 最新のひねりとして、サイバー犯罪者はクラウド リソースに大混乱をもたらし、クリプトジャッキング企業を広めて実行するために、サイバー犯罪者がこれらのコンピューティング リザーブからマイニングする 50 ドル相当の暗号通貨ごとに、被害者に約 1 ドルのクラウド リソースを支払う高価な計画を実行しています。
これは、Sysdig から本日発表された新しいレポートによると、悪者は脆弱なクラウドやコンテナのリソースを無差別に攻撃し、金儲けのクリプトマイニング スキームを強化するために手に入れることができる一方で、巧妙に戦略を練っていることも示しています。
実際、最も狡猾なソフトウェア サプライ チェーン攻撃の多くは、感染したコンテナ イメージを介してクリプトマイナーを生成するように設計されています。 Sysdig の「2022 年クラウドネイティブ脅威レポートに設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
サイバー犯罪者は、開発コミュニティ内の傾向を利用して、Docker Hub などのコンテナー レジストリを介して、事前に作成されたコンテナー イメージを介してコードとオープン ソース プロジェクトを共有しています。 コンテナー イメージには、必要なすべてのソフトウェアがインストールされ、展開しやすいワークロードで構成されています。 これは開発者にとって大きな時間の節約になりますが、攻撃者が悪意のあるペイロードが組み込まれたイメージを作成し、DockerHub などのプラットフォームに悪意のある製品をシードする道も開きます。 開発者がプラットフォームから Docker プル リクエストを実行するだけで、悪意のあるイメージが実行されます。 さらに、Docker Hub のダウンロードとインストールは不透明であるため、潜在的な問題を特定するのがさらに難しくなります。
「コンテナ イメージが理論的なリスクではなく、実際の攻撃ベクトルになっていることは明らかです」とレポートは説明し、Sysdig Threat Research Team (TRT) は、世界中のユーザーがアップロードした公開コンテナ イメージを数か月にわたってふるいにかけました。悪意のあるインスタンスを見つけるための DockerHub。 「Sysdig TRT で説明されている悪意のある攻撃者が使用する方法は、特にクラウドとコンテナーのワークロードを対象としています。」
チームの調査により、クリプトマイナー、バックドア、および正規の一般的なソフトウェアを装ったその他の厄介なマルウェアを含む 1,600 を超える悪意のある画像が明らかになりました。 クリプトマイナーは群を抜いて最も多く、サンプルの 36% を占めていました。
Sysdig の上級セキュリティ研究者であり、レポートの共著者である Stefano Chierici は、次のように述べています。 「攻撃者はクラウドにいて、実際のお金を受け取っています。 クリプトジャッキング活動の蔓延率が高いのは、加害者にとってリスクが低く、報酬が高いことに起因しています。」
チームTNTとキメラ
レポートの一部として、Chierici と彼の同僚は、TeamTNT 脅威グループの戦術、技術、および手順 (TTP) の詳細な技術分析も行いました。 一部の情報源によると、このグループは 2019 年から活動しており、最も蔓延している攻撃キャンペーンの 10,000 つである Chimera で、2022 を超えるクラウド デバイスとコンテナ デバイスを侵害しました。 クリプトジャッキング ワームの活動で最もよく知られており、レポートによると、TeamTNT は 2 年もスクリプトと TTP を改良し続けています。たとえば、スクリプトを AWS クラウド メタデータ サービスに接続して、ECXNUMX インスタンスに関連付けられた認証情報を活用し、侵害されたインスタンスに関連付けられている他のリソース。
「これらの資格情報に過剰な権限が関連付けられている場合、攻撃者はさらに多くのアクセス権を取得する可能性があります。 Sysdig TRT は、TeamTNT が可能であればこれらの資格情報を活用して、より多くの EC2 インスタンスを作成し、クリプトマイニングの機能と利益を向上させたいと考えていると考えています」とレポートは述べています。
分析の一環として、チームはクリプトジャッキングの経済的影響を把握するために、マイニング キャンペーン中に TeamTNT が使用した多数の XMR ウォレットを掘り下げました。
Sysdig は、Chimera 運用中の脅威グループの運用慣行の技術的分析を利用して、攻撃者がマイニングした XMR ごとに単一の AWS EC11,000 インスタンスで被害者に 2 ドルの費用をかけていることを発見できました。 チームが回収したウォレットは約 40 XMR に相当し、攻撃者はこれらのコインをマイニングするために 430,000 ドル近くのクラウド請求を行ったことを意味します。
レポートは、今年初めのコインの評価額を使用して、これらのコインの価値を約 8,100 ドルに相当すると見積もっており、封筒の裏を計算すると、悪者が稼ぐ 53 ドルごとに、被害者はクラウド料金だけで少なくとも XNUMX ドルかかることが示されています。
