De bedreigingen voor de cloud-native infrastructuur nemen toe, vooral omdat aanvallers zich richten op cloud- en containerbronnen om hun illegale cryptomining-activiteiten mogelijk te maken. In de laatste wending richten cybercriminelen grote schade aan aan cloudbronnen om cryptojacking-ondernemingen te verspreiden en te runnen in kostbare plannen die slachtoffers zo'n $50 aan cloudbronnen kosten voor elke $1 aan cryptocurrency die de boeven uit deze computerreserves halen.
Dat blijkt uit een nieuw rapport van Sysdig, dat laat zien dat hoewel de slechteriken zonder onderscheid elke zwakke cloud- of containerbron zullen aanvallen die ze in handen kunnen krijgen om geld verdienende cryptomining-programma's te bewerkstelligen, ze er ook slim strategisch mee omgaan.
In feite zijn veel van de meest sluwe aanvallen op de supply chain van software voor een groot deel ontworpen om cryptominers voort te brengen via geรฏnfecteerde containerimages. Aanvallers maken niet alleen gebruik van de afhankelijkheden van de broncode waar het vaakst aan wordt gedacht bij offensieve supply chain-aanvallen โ ze gebruiken ook kwaadaardige containerimages als een effectief aanvalsmiddel, aldus Sysdig's โCloud-native dreigingsrapport 2022. '
Cybercriminelen profiteren van de trend binnen de ontwikkelingsgemeenschap om code en open source-projecten te delen via vooraf gemaakte containerimages via containerregisters zoals Docker Hub. Bij containerimages is alle vereiste software geรฏnstalleerd en geconfigureerd in een eenvoudig te implementeren werklast. Hoewel dat voor ontwikkelaars een serieuze tijdbesparing oplevert, opent het ook een pad voor aanvallers om images te maken waarin kwaadaardige payloads zijn ingebouwd en om vervolgens platforms zoals DockerHub te bezaaien met hun kwaadaardige spullen. Het enige dat een ontwikkelaar nodig heeft, is een Docker-pull-verzoek vanaf het platform uitvoeren om die kwaadaardige afbeelding actief te krijgen. Bovendien is het downloaden en installeren van Docker Hub ondoorzichtig, waardoor het nog moeilijker wordt om de kans op problemen op te sporen.
โHet is duidelijk dat containerafbeeldingen een echte aanvalsvector zijn geworden, in plaats van een theoretisch risicoโ, legt het rapport uit, waarvoor het Sysdig Threat Research Team (TRT) een maandenlang proces heeft doorlopen van het doorzoeken van openbare containerafbeeldingen die door gebruikers wereldwijd zijn geรผpload naar DockerHub om kwaadaardige exemplaren te vinden. โDe methoden die worden gebruikt door kwaadwillende actoren, beschreven door Sysdig TRT, zijn specifiek gericht op cloud- en containerworkloads.โ
De jacht van het team bracht meer dan 1,600 kwaadaardige afbeeldingen aan het licht met cryptominers, backdoors en andere vervelende malware, vermomd als legitieme populaire software. Cryptominers kwamen verreweg het meest voor en vormden 36% van de monsters.
โBeveiligingsteams kunnen zichzelf niet langer voor de gek houden met het idee dat โcontainers te nieuw of te kortstondig zijn om bedreigingsactoren lastig te vallenโโ, zegt Stefano Chierici, senior beveiligingsonderzoeker bij Sysdig en co-auteur van het rapport. โAanvallers bevinden zich in de cloud en nemen echt geld af. De hoge prevalentie van cryptojacking-activiteiten is toe te schrijven aan het lage risico en de hoge beloning voor de daders.โ
TeamTNT en Chimera
Als onderdeel van het rapport voerden Chierici en zijn collega's ook een diepgaande technische analyse uit van de tactieken, technieken en procedures (TTP's) van de TeamTNT-dreigingsgroep. De groep is actief sinds 2019 en heeft volgens sommige bronnen meer dan 10,000 cloud- en containerapparaten gecompromitteerd tijdens een van de meest voorkomende aanvalscampagnes, Chimera. Het is vooral bekend vanwege de cryptojacking-wormactiviteit en volgens het rapport blijft TeamTNT zijn scripts en TTPโs in 2022 verfijnen. Het verbindt nu bijvoorbeeld scripts met de AWS Cloud Metadata-service om inloggegevens te gebruiken die zijn gekoppeld aan een EC2-instantie en toegang te krijgen tot andere bronnen die aan een gecompromitteerd exemplaar zijn gekoppeld.
โAls er buitensporige machtigingen aan deze inloggegevens zijn gekoppeld, kan de aanvaller nog meer toegang krijgen. Sysdig TRT is van mening dat TeamTNT deze referenties, indien mogelijk, zou willen gebruiken om meer EC2-instances te creรซren, zodat het zijn cryptomining-mogelijkheden en winsten zou kunnen vergrotenโ, aldus het rapport.
Als onderdeel van de analyse heeft het team zich verdiept in een aantal XMR-wallets die door TeamTNT werden gebruikt tijdens mijnbouwcampagnes om de financiรซle impact van cryptojacking te achterhalen.
Door gebruik te maken van technische analyses van de operationele praktijken van de dreigingsgroep tijdens de Chimera-operatie, kon Sysdig ontdekken dat de tegenstander zijn slachtoffers $11,000 kostte op een enkele AWS EC2-instantie voor elke XMR die werd gedolven. De portefeuilles die het team heeft teruggevonden, bedroegen zo'n 40 XMR, wat betekent dat de aanvallers een cloudbiljet van bijna $ 430,000 opbrachten om die munten te minen.
Op basis van de muntwaardering van eerder dit jaar schatte het rapport de waarde van die munten op ongeveer $8,100, waarbij op de achterkant van de envelop werd berekend dat voor elke dollar die de slechteriken verdienen, ze de slachtoffers alleen al minstens $53 aan cloudrekeningen kosten.
