Cybersecurity-onderzoekers hebben een aanhoudende en ambitieuze campagne geïdentificeerd die zich dagelijks op duizenden Docker-servers richt met een Bitcoin (BTC) mijnwerker.
In een rapport gepubliceerde op 3 april gaf Aqua Security een dreigingsalarm over de aanval, die zogenaamd 'al maanden aan de gang is, met duizenden pogingen die bijna dagelijks plaatsvinden'. De onderzoekers waarschuwen:
"Dit zijn de hoogste aantallen die we in een tijd hebben gezien, veel meer dan we tot nu toe hebben gezien."
Een dergelijke reikwijdte en ambitie geven aan dat het onwaarschijnlijk is dat de illegale mijnbouwcampagne van Bitcoin "een geïmproviseerde onderneming" zal zijn, aangezien de actoren erachter moeten vertrouwen op aanzienlijke middelen en infrastructuur.
Kinsing-malware-aanvalsvolumes, december 2019-maart 2020. Bron: Aqua Security-blog
Met behulp van zijn virusanalysetools heeft Aqua Security de malware geïdentificeerd als een op Golang gebaseerde Linux-agent, bekend als Kinsing. De malware verspreidt zich door misbruik te maken van verkeerde configuraties in Docker API-poorten. Het voert een Ubuntu-container uit, die Kinsing downloadt en vervolgens probeert de malware naar andere containers en hosts te verspreiden.
Het einddoel van de campagne - bereikt door eerst de open poort te exploiteren en vervolgens uit te voeren met een reeks ontwijkingstactieken - is om een crypto-miner op de gecompromitteerde host in te zetten, zeggen de onderzoekers.
Infographic met de volledige stroom van een Kinsing-aanval. Bron: Aqua Security-blog
Beveiligingsteams moeten hun spel verbeteren, zegt Aqua
Het onderzoek van Aqua biedt gedetailleerd inzicht in de componenten van de malwarecampagne, die opvalt als een krachtig voorbeeld van wat volgens het bedrijf 'de groeiende bedreiging voor cloud-native omgevingen' is.
Aanvallers verhogen hun spel om steeds geavanceerdere en ambitieuzere aanvallen uit te voeren, merken de onderzoekers op. Als reactie hierop moeten beveiligingsteams van ondernemingen een robuustere strategie ontwikkelen om deze nieuwe risico's te beperken.
Onder hun aanbevelingen stelt Aqua voor dat teams alle cloudbronnen identificeren en deze in een logische structuur groeperen, hun autorisatie- en authenticatiebeleid herzien en het basisbeveiligingsbeleid aanpassen volgens een principe van "minste privilege".
Teams moeten ook logboeken onderzoeken om gebruikersacties te lokaliseren die als anomalieën worden geregistreerd, en moeten cloudbeveiligingstools implementeren om hun strategie te versterken.
Bewustzijn vergroten
Vorige maand startte de in Singapore gevestigde eenhoorn Acronis gepubliceerde de resultaten van zijn laatste cyberbeveiligingsonderzoek. Hieruit bleek dat 86% van de IT-professionals zich zorgen maakt over cryptojacking - de brancheterm voor het gebruik van de verwerkingskracht van een computer om de mijne voor cryptocurrencies zonder toestemming of medeweten van de eigenaar.