Hoten mot molnbaserad infrastruktur ökar, särskilt när angripare riktar in sig på moln- och containerresurser för att driva sin illegala kryptominering. I den senaste vändningen orsakar cyberbrottslingar förödelse på molnresurser för att både sprida och driva kryptojackningsföretag i kostsamma system som kostar offer omkring 50 dollar i molnresurser för varje kryptovaluta värd 1 dollar som skurkarna tar bort från dessa beräkningsreserver.
Det är enligt en ny rapport från Sysdig som visar att även om skurkarna urskillningslöst attackerar alla svaga moln- eller containerresurser som de kan få tag på för att driva pengar att tjäna kryptomineringssystem, är de också smarta strategiska när det gäller det.
Faktum är att många av de mest listiga attackerna i leveranskedjan för programvara är till stor del utformade för att skapa kryptominerare via infekterade containerbilder. Angripare utnyttjar inte bara de källkodsberoenden som oftast är tänkta vid offensiva supply chain-attacker – de utnyttjar också skadliga containerbilder som ett effektivt attackmedel, enligt Sysdigs "2022 Cloud-native hotrapport. "
Cyberkriminella drar fördel av trenden inom utvecklingsgemenskapen att dela kod och öppen källkodsprojekt via förgjorda containerbilder via containerregister som Docker Hub. Behållaravbildningar har all nödvändig programvara installerad och konfigurerad i en lättinstallerad arbetsbelastning. Även om det är en allvarlig tidsbesparande för utvecklare, öppnar det också en väg för angripare att skapa bilder som har skadliga nyttolaster inbyggda och sedan till plattformar som DockerHub med deras skadliga varor. Allt som krävs är att en utvecklare kör en Docker pull-begäran från plattformen för att få den skadliga bilden att köras. Dessutom är nedladdningen och installationen av Docker Hub ogenomskinlig, vilket gör det ännu svårare att upptäcka risken för problem.
"Det är uppenbart att containerbilder har blivit en riktig attackvektor, snarare än en teoretisk risk," förklarade rapporten, för vilken Sysdig Threat Research Team (TRT) gick igenom en månadslång process för att sålla igenom offentliga containerbilder som laddats upp av användare över hela världen på DockerHub för att hitta skadliga instanser. "De metoder som används av illvilliga aktörer som beskrivs av Sysdig TRT är specifikt inriktade på moln- och containerarbetsbelastningar."
Teamets jakt dök upp mer än 1,600 36 skadliga bilder innehållande kryptominerare, bakdörrar och annan otäck skadlig programvara förklädd som legitim populär programvara. Cryptominers var överlägset vanligast och utgjorde XNUMX % av proverna.
"Säkerhetsteam kan inte längre lura sig själva med tanken att "behållare är för nya eller för tillfälliga för att hotaktörer ska bry sig", säger Stefano Chierici, senior säkerhetsforskare på Sysdig och medförfattare till rapporten. "Angripare finns i molnet och de tar riktiga pengar. Den höga förekomsten av kryptojackningsaktivitet kan tillskrivas den låga risken och höga belöningen för förövarna.”
TeamTNT och Chimera
Som en del av rapporten gjorde Chierici och hans kollegor också en djupgående teknisk analys av taktiken, teknikerna och procedurerna (TTP) för TeamTNT-hotgruppen. Aktiv sedan 2019 har gruppen enligt vissa källor äventyrat över 10,000 2022 moln- och containerenheter under en av dess mest utbredda attackkampanjer, Chimera. Det är mest känt för kryptojackning av maskaktivitet och enligt rapporten fortsätter TeamTNT att förfina sina skript och sina TTP:er under 2. Till exempel kopplar det nu skript med AWS Cloud Metadata-tjänsten för att utnyttja referenser som är associerade med en ECXNUMX-instans och få tillgång till andra resurser kopplade till en komprometterad instans.
"Om det finns överdrivna behörigheter kopplade till dessa referenser kan angriparen få ännu mer åtkomst. Sysdig TRT tror att TeamTNT skulle vilja utnyttja dessa referenser, om det är möjligt, för att skapa fler EC2-instanser så att det kan öka dess kryptomineringsförmåga och vinster, heter det i rapporten.
Som en del av sin analys grävde teamet ner i ett antal XMR-plånböcker som används av TeamTNT under gruvkampanjer för att ta reda på den ekonomiska effekten av kryptojackning.
Med hjälp av teknisk analys av hotgruppens operativa praxis under Chimera-operationen kunde Sysdig finna att motståndaren kostade sina offer $11,000 2 på en enda AWS EC40-instans för varje XMR som den bröt. Plånböckerna som laget återfann uppgick till cirka 430,000 XMR, vilket betyder att angriparna körde upp en molnnota på nästan XNUMX XNUMX $ för att bryta dessa mynt.
Med hjälp av myntvärdering från tidigare i år, uppskattade rapporten att värdet av dessa mynt motsvarar cirka 8,100 53 dollar, med siffror på baksidan av kuvertet som sedan visar att för varje dollar som skurkarna tjänar kostar de offren minst XNUMX dollar bara i molnräkningar.
