クリプトジャッキングは徐々に戻ってきており、攻撃者はさまざまなスキームを使用してクラウド インフラストラクチャから無料の処理能力を奪い、ビットコインやモネロなどの暗号通貨のマイニングに集中しています。
クラウドネイティブ サービスのセキュリティ プロバイダーである Sysdig によると、クリプトマイナーは、最大規模の継続的インテグレーションおよびデプロイメント (CI/CD) サービスの一部で無料トライアルが利用できることを利用して、コードをデプロイし、分散型マイニング プラットフォームを作成しています。 サイバーセキュリティ サービス企業の CrowdStrike は今週、攻撃者が不適切に構成された Kubernetes および Docker インスタンスを標的にして、ホスト システムにアクセスし、クリプトマイニング ソフトウェアを実行していると警告しています。
CrowdStrike のクラウド セキュリティ担当上級脅威研究員である Manoj Ahuje 氏は、どちらの戦術も、誰かを犠牲にしてデジタル通貨の台頭を利用しようとしているだけだと述べています。
「侵害されたワークロードが利用可能である限り、本質的には無料のコンピューティングです。クリプトマイナーにとっては、入力コストがゼロになるため、それ自体が勝利です」と彼は言います。 「そして…攻撃者がマイニングのためにコンピューティングをクラウドソーシングすることで、そのようなワークロードの多くを効果的に侵害できれば、目標をより早く達成し、同じ時間でより多くのマイニングを行うことができます。」
過去 11 か月で仮想通貨の価値が急落したにもかかわらず、仮想通貨マイニングの取り組みは時間の経過とともに増加しています。 例えばビットコインは、 70 年 2021 月のピークから XNUMX% ダウン、多くの暗号通貨ベースのサービスに影響を与えています。 しかし、最新の攻撃は、サイバー犯罪者が最も簡単に達成できるものを見つけようとしていることを示しています。
プロバイダーのクラウド インフラストラクチャを侵害してもビジネスに害はないように見えるかもしれませんが、そのようなハッキングのコストは徐々に低下します。 Sysdig は、攻撃者が通常 1ドルのコストごとに53ドルしか稼げない クラウド インフラストラクチャの所有者が負担します。 たとえば、GitHub の無料トライアルを使用して 100,000 つの Monero コインをマイニングすると、その会社は XNUMX ドル以上の収益を失うことになると Sysdig は見積もっています。
しかし、企業は当初、クリプトマイニングの害を認識していない可能性があると、Sysdig の脅威研究者である Crystal Morin は述べています。
「誰かのインフラを盗んだり、企業からデータを盗んだりするなど、誰かに直接害を及ぼすことはありませんが、これを拡大したり、他のグループがこの種の操作を利用したりした場合、つまり「フリージャック」は、これらのプロバイダーに経済的な損害を与え始める可能性があります。そして、バックエンドでユーザーに影響を与え、無料試用版がなくなったり、正当なユーザーがより多くの支払いを強いられたりします」と彼女は言います。
どこでもクリプトマイナー
Sysdig が PURPLEURCHIN と名付けた最新の攻撃は、無料トライアルを提供するできるだけ多くのサービスからクリプトマイニング ネットワークを作り上げようとする試みのようです。 Sysdig の研究者は、最新のクリプトマイニング ネットワークが 30 の GitHub アカウント、2,000 の Heroku アカウント、および 900 の Buddy アカウントを利用していることを発見しました。 サイバー犯罪グループは、Docker コンテナーをダウンロードし、JavaScript プログラムを実行して、特定のコンテナーに読み込みます。
攻撃の成功は、可能な限り自動化しようとするサイバー犯罪グループの努力によってもたらされたと、Sysdig の脅威調査担当ディレクターである Michael Clark 氏は述べています。
「彼らは、新しいアカウントを取得する活動を本当に自動化しました」と彼は言います。 「彼らは CAPTCHA バイパス、ビジュアル バージョン、オーディオ バージョンを使用しています。 新しいドメインを作成し、構築したインフラストラクチャで電子メール サーバーをホストします。 それはすべてモジュール式であるため、仮想ホスト上で多数のコンテナーをスピンアップします。」
たとえば、GitHub は無料利用枠で毎月 2,000 分の無料 GitHub Action 分を提供しており、これはすべてのアカウントで最大 33 時間の実行時間を占める可能性がある、と Sysdig は分析で述べています。
キス・ア・ドッグ
クリプトジャッキング キャンペーン CrowdStrike が発見されました 脆弱な Docker および Kubernetes インフラストラクチャをターゲットにしています。 クリプトマイナーは、Kiss-a-Dog キャンペーンと呼ばれ、回復力を確保するために複数のコマンド アンド コントロール (C2) サーバーを使用し、ルートキットを使用して検出を回避します。 これには、侵害されたコンテナにバックドアを配置したり、他の手法を使用して永続性を確保したりするなど、その他のさまざまな機能が含まれています。
攻撃手法は、CrowdStrike が調査した他のグループ (LemonDuck や Watchdog など) のものと似ています。 しかし、ほとんどの戦術は TeamTNT に似ており、脆弱で構成が不適切な Docker および Kubernetes インフラストラクチャも標的にしていると、CrowdStrike はそのアドバイザリで述べています。
このような攻撃は侵害のように感じられないかもしれませんが、企業は、攻撃者が自社のクラウド インフラストラクチャにアクセスしている兆候を真剣に受け止めるべきだと、CrowdStrike の Ahuje 氏は述べています。
「攻撃者があなたの環境でクリプトマイナーを実行すると、これは防御の第一線が失敗したという兆候です」と彼は言います。 「クリプトマイナーは、この攻撃面を有利に利用するために石を惜しみません。」
