Cryptojacking kryper tilbake, med angripere som bruker en rekke ordninger for å frigjøre prosessorkraft fra skyinfrastruktur for å fokusere på gruvedrift av kryptovalutaer som Bitcoin og Monero.
Cryptominers bruker tilgjengeligheten av gratis prøveversjoner på noen av de største kontinuerlige integrerings- og distribusjonstjenestene (CI/CD) for å distribuere kode og lage distribuerte gruveplattformer, ifølge Sysdig, en leverandør av sikkerhet for skybaserte tjenester. Angripere er også målrettet mot feilkonfigurerte Kubernetes- og Docker-instanser for å få tilgang til vertssystemene og kjøre kryptomineringsprogramvare, advarte cybersikkerhetstjenestefirmaet CrowdStrike denne uken.
Begge taktikkene prøver egentlig bare å tjene penger på fremveksten av digitale valutaer på andres bekostning, sier Manoj Ahuje, en senior trusselforsker for skysikkerhet ved CrowdStrike.
"Så lenge den kompromitterte arbeidsmengden er tilgjengelig, er det i hovedsak gratis beregning - for en kryptominer er det en seier i seg selv ettersom inndatakostnadene hans blir null," sier han. "Og ... hvis en angriper kan kompromittere et stort antall slike arbeidsbelastninger effektivt ved å crowdsourcing datamaskinen for gruvedrift, hjelper det å nå målet raskere og mine mer på samme tid."
Cryptomining-innsatsen øker over tid, selv om verdien av kryptovalutaer har stupt de siste 11 månedene. Bitcoin er for eksempel ned 70 % fra toppen i november 2021, som påvirker mange kryptovalutabaserte tjenester. De siste angrepene viser imidlertid at nettkriminelle er ute etter å plukke den lavest hengende frukten.
Å kompromittere leverandørenes skyinfrastruktur ser kanskje ikke ut til å skade bedrifter, men kostnadene for slike hack vil sive ned. Sysdig fant typisk den angriperen bare tjene $1 for hver $53 av kostnad bæres av eierne av skyinfrastrukturen. Å utvinne en enkelt Monero-mynt ved å bruke gratis prøveversjoner på GitHub, for eksempel, vil koste selskapet mer enn $100,000 XNUMX i tapt inntekt, estimerte Sysdig.
Likevel kan det hende at bedrifter i utgangspunktet ikke ser skaden ved kryptominering, sier Crystal Morin, en trusselforsker ved Sysdig.
"De skader ikke noen direkte, for eksempel å ta noens infrastruktur eller stjele data fra bedrifter, men hvis de skulle skalere dette opp, eller andre grupper utnyttet denne typen operasjoner - "freejacking" - kan det begynne å skade disse leverandørene økonomisk. og påvirke – på baksiden – brukerne, med gratis prøveversjoner som forsvinner eller tvinger legitime brukere til å betale mer, sier hun.
Cryptominers overalt
Det siste angrepet, som Sysdig kalte PURPLEURCHIN, ser ut til å være et forsøk på å bygge sammen et kryptomineringsnettverk fra så mange tjenester som mulig som tilbyr gratis prøveversjoner. Sysdigs forskere oppdaget at det siste kryptomineringsnettverket brukte 30 GitHub-kontoer, 2,000 Heroku-kontoer og 900 Buddy-kontoer. Den nettkriminelle gruppen laster ned en Docker-beholder, kjører et JavaScript-program og laster inn i en bestemt beholder.
Suksessen til angrepet er egentlig drevet av den nettkriminelle gruppens innsats for å automatisere så mye som mulig, sier Michael Clark, direktør for trusselforskning for Sysdig.
"De har virkelig automatisert aktiviteten med å komme inn på nye kontoer," sier han. "De bruker CAPTCHA-bypass, de visuelle og lydversjonene. De oppretter nye domener og er vert for e-postservere på infrastrukturen de har bygget. Det hele er modulært, så de spinner opp en haug med containere på en virtuell vert.»
GitHub, for eksempel, tilbyr 2,000 gratis GitHub Action-minutter per måned på sitt gratis nivå, som kan stå for opptil 33 timers kjøretid for hver konto, uttalte Sysdig i sin analyse.
Kyss-en-hund
Kryptojacking-kampanjen CrowdStrike oppdaget retter seg mot sårbar Docker- og Kubernetes-infrastruktur. Kalt Kiss-a-Dog-kampanjen, bruker kryptominerne flere kommando-og-kontroll-servere (C2) for robusthet, og bruker rootkits for å unngå oppdagelse. Den inkluderer en rekke andre funksjoner, som å plassere bakdører i eventuelle kompromitterte containere og bruke andre teknikker for å oppnå utholdenhet.
Angrepsteknikkene ligner de til andre grupper undersøkt av CrowdStrike, inkludert LemonDuck og Watchdog. Men det meste av taktikken ligner på TeamTNT, som også var rettet mot sårbar og feilkonfigurert Docker- og Kubernetes-infrastruktur, uttalte CrowdStrike i sin rådgivning.
Selv om slike angrep kanskje ikke føles som et brudd, bør selskaper ta på alvor alle tegn på at angripere har tilgang til skyinfrastrukturen deres, sier CrowdStrikes Ahuje.
"Når angripere kjører en kryptominer i miljøet ditt, er dette et symptom på at din første forsvarslinje har mislyktes," sier han. "Kryptominers lar ingen steiner være uvendt for å utnytte denne angrepsoverflaten til sin fordel."
