Trusler mot skybasert infrastruktur øker, spesielt ettersom angripere retter seg mot sky- og containerressurser for å drive deres ulovlige kryptomineringsoperasjoner. I den siste vrien herjer nettkriminelle skyressurser for både å spre og drive kryptojacking-bedrifter i kostbare ordninger som koster ofre rundt 50 dollar i skyressurser for hver 1 dollar verdt kryptovaluta som skurkene tar ut av disse datareservene.
Det er ifølge en ny rapport fra Sysdig i dag, som viser at selv om de slemme gutta vil vilkårlig angripe enhver svak sky- eller containerressurser de kan få tak i for å drive pengetjenende kryptomineringsordninger, er de også smarte strategiske når det gjelder det.
Faktisk er mange av de mest utspekulerte programvareforsyningskjedeangrepene i stor grad designet for å skape kryptominere via infiserte containerbilder. Angripere utnytter ikke bare kildekodeavhengigheter som oftest tenkes på i offensive forsyningskjedeangrep – de utnytter også ondsinnede containerbilder som et effektivt angrepsmiddel, ifølge Sysdigs "2022 Cloud-Native Threat Report».
Nettkriminelle drar nytte av trenden i utviklingsfellesskapet til å dele kode og åpen kildekode-prosjekter via forhåndslagde containerbilder via containerregistre som Docker Hub. Containeravbildninger har all nødvendig programvare installert og konfigurert i en enkel å distribuere arbeidsmengde. Selv om det er en alvorlig tidsbesparelse for utviklere, åpner det også en vei for angripere til å lage bilder som har ondsinnede nyttelaster innebygd og deretter til å starte plattformer som DockerHub med deres ondsinnede varer. Alt som trengs er at en utvikler kjører en Docker pull-forespørsel fra plattformen for å få det ondsinnede bildet til å kjøre. Dessuten er nedlastingen og installasjonen av Docker Hub ugjennomsiktig, noe som gjør det enda vanskeligere å oppdage potensialet for problemer.
«Det er tydelig at containerbilder har blitt en reell angrepsvektor, snarere enn en teoretisk risiko», forklarte rapporten, som Sysdig Threat Research Team (TRT) gikk gjennom en månedslang prosess med å sile gjennom offentlige containerbilder lastet opp av brukere over hele verden til DockerHub for å finne skadelige forekomster. "Metodene brukt av ondsinnede aktører beskrevet av Sysdig TRT er spesifikt rettet mot sky- og containerarbeidsbelastninger."
Teamets jakt dukket opp mer enn 1,600 ondsinnede bilder som inneholder kryptominere, bakdører og annen ekkel skadelig programvare forkledd som legitim populær programvare. Cryptominers var desidert mest utbredt, og utgjorde 36 % av prøvene.
"Sikkerhetsteam kan ikke lenger lure seg selv med ideen om at "beholdere er for nye eller for flyktige til at trusselaktører kan bry seg", sier Stefano Chierici, senior sikkerhetsforsker ved Sysdig og medforfatter av rapporten. «Angripere er i skyen, og de tar ekte penger. Den høye utbredelsen av kryptojacking-aktivitet kan tilskrives lav risiko og høy belønning for gjerningsmennene.»
TeamTNT og Chimera
Som en del av rapporten gjorde Chierici og hans kolleger også en dypdykk teknisk analyse av taktikken, teknikkene og prosedyrene (TTP-er) til TeamTNT-trusselgruppen. Gruppen, som har vært aktiv siden 2019, har ifølge noen kilder kompromittert over 10,000 2022 sky- og containerenheter under en av de mest utbredte angrepskampanjene, Chimera. Det er mest kjent for cryptojacking-ormaktivitet, og ifølge rapporten fortsetter TeamTNT å avgrense skriptene og TTP-ene i 2. For eksempel kobler det nå skript med AWS Cloud Metadata-tjenesten for å utnytte legitimasjon knyttet til en ECXNUMX-forekomst og få tilgang til andre ressurser knyttet til en kompromittert instans.
"Hvis det er overdrevne tillatelser knyttet til disse legitimasjonene, kan angriperen få enda mer tilgang. Sysdig TRT mener at TeamTNT ønsker å utnytte disse legitimasjonene, hvis de er i stand, til å lage flere EC2-forekomster slik at den kan øke kryptomineringsevnen og fortjenesten, heter det i rapporten.
Som en del av analysen, gravde teamet i en rekke XMR-lommebøker brukt av TeamTNT under gruvekampanjer for å finne ut den økonomiske konsekvensen av kryptojacking.
Ved å bruke teknisk analyse av trusselgruppens operasjonelle praksis under Chimera-operasjonen, var Sysdig i stand til å finne ut at motstanderen kostet sine ofre $11,000 2 på én enkelt AWS EC40-forekomst for hver XMR den ble utvunnet. Lommebøkene teamet fikk utgjorde rundt 430,000 XMR, noe som betyr at angriperne kjørte opp en skyregning på nesten $XNUMX XNUMX for å utvinne disse myntene.
Ved å bruke myntverdier fra tidligere i år, estimerte rapporten at verdien av disse myntene tilsvarer rundt $8,100, og baksiden av konvolutten viser at for hver dollar de slemme tjener, koster de ofrene minst $53 i skyregninger alene.
