Ataki na łańcuch dostaw kontenerów Zarabianie na Cryptojackingu

Zagrożenia dla infrastruktury natywnej w chmurze rosną, szczególnie gdy napastnicy atakują zasoby chmury i kontenerów w celu zasilania nielegalnych operacji wydobywania kryptowalut. W najnowszym wydaniu cyberprzestępcy sieją spustoszenie w zasobach chmury, aby zarówno propagować, jak i prowadzić przedsiębiorstwa zajmujące się cryptojackingiem w ramach kosztownych programów, które kosztują ofiary około 50 dolarów w zasobach w chmurze za każdego dolara kryptowaluty, którą oszuści wydobywają z tych rezerw obliczeniowych.

Tak wynika z nowego raportu opublikowanego dzisiaj przez Sysdig, który pokazuje, że chociaż przestępcy będą bezkrytycznie atakować wszelkie słabe zasoby chmury lub kontenerów, jakie tylko wpadną im w ręce, aby zasilać zarabiające pieniądze programy wydobywania kryptowalut, podchodzą do tego również sprytnie strategicznie. 

W rzeczywistości wiele z najbardziej przebiegłych ataków na łańcuch dostaw oprogramowania ma w dużej mierze na celu wygenerowanie kopaczy kryptowalut za pośrednictwem zainfekowanych obrazów kontenerów. Według „Sysdig” atakujący nie tylko wykorzystują zależności kodu źródłowego, o których najczęściej myśli się w ofensywnych atakach na łańcuch dostaw, ale także wykorzystują obrazy złośliwych kontenerów jako skuteczne narzędzie ataku.Raport dotyczący zagrożeń natywnych w chmurze z 2022 r". 

Cyberprzestępcy wykorzystują panującą w społeczności programistów tendencję do udostępniania kodu i projektów typu open source za pośrednictwem gotowych obrazów kontenerów za pośrednictwem rejestrów kontenerów, takich jak Docker Hub. Obrazy kontenerów mają zainstalowane i skonfigurowane całe wymagane oprogramowanie w ramach łatwego do wdrożenia obciążenia. Chociaż stanowi to poważną oszczędność czasu dla programistów, otwiera także drogę atakującym do tworzenia obrazów zawierających wbudowane szkodliwe ładunki, a następnie do zaszczepiania platform takich jak DockerHub ich szkodliwymi produktami. Wystarczy, że programista uruchomi z platformy żądanie ściągnięcia Dockera, aby uruchomić złośliwy obraz. Co więcej, pobieranie i instalacja Docker Hub jest nieprzejrzysta, co jeszcze bardziej utrudnia dostrzeżenie potencjalnych problemów.

„Jasne jest, że obrazy kontenerów stały się prawdziwym wektorem ataku, a nie teoretycznym ryzykiem” – wyjaśnia raport, w związku z czym zespół ds. badania zagrożeń firmy Sysdig (TRT) przeszedł wielomiesięczny proces przeglądania obrazów kontenerów publicznych przesłanych przez użytkowników z całego świata do serwisu DockerHub, aby znaleźć złośliwe instancje. „Metody stosowane przez złośliwych aktorów opisane przez Sysdig TRT są specjalnie ukierunkowane na obciążenia w chmurze i kontenerach”.

Podczas polowania zespół ujawnił ponad 1,600 złośliwych obrazów zawierających kopacze kryptowalut, backdoory i inne złośliwe złośliwe oprogramowanie udające legalne, popularne oprogramowanie. Zdecydowanie najbardziej rozpowszechnione były kopacze kryptowalut, stanowiące 36% próbek.

„Zespoły ds. bezpieczeństwa nie mogą się już łudzić, że „kontenery są zbyt nowe lub zbyt efemeryczne, aby cyberprzestępcy mogli się nimi przejmować” – mówi Stefano Chierici, starszy badacz ds. bezpieczeństwa w firmie Sysdig i współautor raportu. „Napastnicy znajdują się w chmurze i kradną prawdziwe pieniądze. Wysoką częstość występowania kryptojackingu można przypisać niskiemu ryzyku i wysokiej nagrodzie dla sprawców”.

TeamTNT i Chimera

W ramach raportu Chierici i jego współpracownicy przeprowadzili także dogłębną analizę techniczną taktyk, technik i procedur (TTP) grupy zagrożeń TeamTNT. Według niektórych źródeł grupa, działająca od 2019 r., zhakowała ponad 10,000 2022 urządzeń w chmurze i kontenerach podczas jednej z najpowszechniejszych kampanii ataków – Chimera. Jest najbardziej znany z aktywności robaków cryptojackingu i według raportu TeamTNT w 2 r. będzie nadal udoskonalać swoje skrypty i TTP. Na przykład teraz łączy skrypty z usługą AWS Cloud Metadata, aby wykorzystać dane uwierzytelniające powiązane z instancją ECXNUMX i uzyskać dostęp do inne zasoby powiązane z zaatakowaną instancją.

„Jeśli z tymi danymi uwierzytelniającymi związane są nadmierne uprawnienia, osoba atakująca może uzyskać jeszcze większy dostęp. Sysdig TRT uważa, że ​​TeamTNT chciałoby wykorzystać te dane uwierzytelniające, jeśli jest to możliwe, do utworzenia większej liczby instancji EC2, aby zwiększyć swoje możliwości i zyski w zakresie wydobywania kryptowalut” – czytamy w raporcie.

W ramach swojej analizy zespół przeszukał szereg portfeli XMR używanych przez TeamTNT podczas kampanii wydobywczych, aby ustalić finansowe skutki cryptojackingu. 

Wykorzystując analizę techniczną praktyk operacyjnych grupy zagrażającej podczas operacji Chimera, Sysdig odkrył, że przeciwnik kosztował swoje ofiary 11,000 2 dolarów w pojedynczej instancji AWS EC40 za każdy wydobyty XMR. Portfele, które odzyskał zespół, miały wartość około 430,000 XMR, co oznacza, że ​​za wydobycie tych monet napastnicy wystawili rachunek w chmurze na prawie XNUMX XNUMX dolarów. 

Na podstawie wyceny monet z początku tego roku w raporcie oszacowano wartość tych monet na około 8,100 dolarów, a z drugiej strony koperty wynika, że ​​każdy dolar zarobiony przez przestępców kosztuje ofiary co najmniej 53 dolary w samych rachunkach w chmurze.