Атаки на цепочку поставок контейнеров Наживаются на криптоджекинге

Угрозы облачной инфраструктуре растут, особенно по мере того, как злоумышленники нацеливаются на облачные и контейнерные ресурсы для осуществления своих незаконных операций по добыче криптовалюты. В последнем повороте киберпреступники наносят ущерб облачным ресурсам, чтобы как распространять, так и запускать криптоджектерские предприятия в дорогостоящих схемах, которые обходятся жертвам примерно в 50 долларов в облачных ресурсах за каждый доллар криптовалюты стоимостью 1 доллар, которую мошенники добывают из этих вычислительных резервов.

Это согласно новому отчету, опубликованному сегодня от Sysdig, который показывает, что, хотя плохие парни будут без разбора атаковать любые слабые облачные или контейнерные ресурсы, которые они могут заполучить для создания прибыльных схем криптомайнинга, они также разумно подходят к этому со стратегией. 

На самом деле, многие из самых изощренных атак на цепочки поставок программного обеспечения в значительной степени предназначены для создания криптомайнеров через зараженные образы контейнеров. По данным Sysdig, злоумышленники не только используют зависимости исходного кода, о которых чаще всего думают в наступательных атаках на цепочку поставок, но и используют образы вредоносных контейнеров в качестве эффективного средства атаки.Отчет об облачных угрозах за 2022 г.". 

Киберпреступники пользуются тенденцией в сообществе разработчиков делиться кодом и проектами с открытым исходным кодом с помощью готовых образов контейнеров через реестры контейнеров, такие как Docker Hub. Образы контейнеров имеют все необходимое программное обеспечение, установленное и настроенное для простой в развертывании рабочей нагрузки. Хотя это серьезно экономит время для разработчиков, это также открывает путь для злоумышленников для создания образов со встроенными вредоносными полезными нагрузками, а затем для заполнения таких платформ, как DockerHub, своими вредоносными программами. Все, что нужно разработчику, — это запустить запрос на извлечение Docker с платформы, чтобы запустить этот вредоносный образ. Более того, загрузка и установка Docker Hub непрозрачна, что еще больше затрудняет выявление потенциальных проблем.

«Очевидно, что образы контейнеров стали реальным вектором атаки, а не теоретическим риском», — поясняется в отчете, для чего команда Sysdig Threat Research Team (TRT) провела многомесячный процесс просеивания общедоступных образов контейнеров, загруженных пользователями со всего мира на DockerHub для поиска вредоносных экземпляров. «Методы, используемые злоумышленниками, описанные Sysdig TRT, специально нацелены на облачные и контейнерные рабочие нагрузки».

Команда обнаружила более 1,600 вредоносных образов, содержащих криптомайнеры, бэкдоры и другое вредоносное ПО, замаскированное под легальное популярное ПО. Криптомайнеры были самыми распространенными, составляя 36% выборок.

«Группы безопасности больше не могут обманывать себя мыслью о том, что «контейнеры слишком новы или слишком эфемерны, чтобы их могли беспокоить злоумышленники», — говорит Стефано Кьеричи, старший исследователь безопасности в Sysdig и соавтор отчета. «Злоумышленники находятся в облаке и забирают реальные деньги. Высокая распространенность криптоджекинга объясняется низким риском и высокой наградой для преступников».

TeamTNT и Химера

В рамках отчета Кьеричи и его коллеги также провели глубокий технический анализ тактики, методов и процедур (TTP) группы угроз TeamTNT. Активная с 2019 года, группа, по некоторым данным, скомпрометировала более 10,000 2022 облачных и контейнерных устройств во время одной из своих самых распространенных атак — Chimera. Он наиболее известен активностью червя для криптоджекинга, и, согласно отчету, TeamTNT продолжает совершенствовать свои сценарии и TTP в 2 году. Например, теперь он связывает сценарии с сервисом облачных метаданных AWS, чтобы использовать учетные данные, связанные с экземпляром ECXNUMX, и получать доступ к другие ресурсы, привязанные к скомпрометированному экземпляру.

«Если с этими учетными данными связаны чрезмерные разрешения, злоумышленник может получить еще больше доступа. Sysdig TRT считает, что TeamTNT захочет использовать эти учетные данные, если это возможно, для создания большего количества экземпляров EC2, чтобы увеличить свои возможности криптомайнинга и прибыль», — говорится в отчете.

В рамках своего анализа команда изучила ряд кошельков XMR, используемых TeamTNT во время майнинговых кампаний, чтобы выяснить финансовые последствия криптоджекинга. 

Используя технический анализ операционных методов группы угроз во время операции Chimera, Sysdig смогла обнаружить, что злоумышленник стоил своим жертвам 11,000 2 долларов США за один экземпляр AWS EC40 за каждый добытый им XMR. Обнаруженная команда кошельков насчитывала около 430,000 XMR, а это означает, что злоумышленники выставили облачный счет почти на XNUMX XNUMX долларов, чтобы добыть эти монеты. 

Используя оценку монет, проведенную ранее в этом году, в отчете оценивается стоимость этих монет примерно в 8,100 53 долларов, а затем подсчитано, что на каждый доллар, заработанный плохими парнями, они обходятся жертвам как минимум в XNUMX доллара только в виде облачных счетов.