ภัยคุกคามต่อโครงสร้างพื้นฐานบนคลาวด์กำลังเพิ่มสูงขึ้น โดยเฉพาะอย่างยิ่งเมื่อผู้โจมตีกำหนดเป้าหมายไปที่ทรัพยากรคลาวด์และคอนเทนเนอร์เพื่อขับเคลื่อนการดำเนินการขุดคริปโตที่ผิดกฎหมาย ในรูปแบบล่าสุด อาชญากรไซเบอร์กำลังสร้างความหายนะให้กับทรัพยากรระบบคลาวด์ทั้งในการเผยแพร่และดำเนินกิจการ cryptojacking ในรูปแบบที่มีราคาแพง ซึ่งทำให้เหยื่อต้องเสียค่าใช้จ่าย 50 เหรียญสหรัฐในทรัพยากรระบบคลาวด์สำหรับทุกๆ มูลค่า 1 เหรียญสหรัฐของสกุลเงินดิจิทัลที่มิจฉาชีพขุดออกมาจากเงินสำรองในการประมวลผลเหล่านี้
ตามรายงานใหม่ในวันนี้จาก Sysdig ซึ่งแสดงให้เห็นว่าในขณะที่คนร้ายจะโจมตีทรัพยากรคลาวด์หรือคอนเทนเนอร์ที่อ่อนแอโดยไม่เลือกปฏิบัติ พวกเขาสามารถมีส่วนร่วมในการขับเคลื่อนแผนการทำเงินแบบ cryptomining พวกเขาก็ยังมีกลยุทธ์ที่ชาญฉลาดเกี่ยวกับเรื่องนี้
ในความเป็นจริง การโจมตีห่วงโซ่อุปทานซอฟต์แวร์ที่มีเล่ห์เหลี่ยมที่สุดส่วนใหญ่ได้รับการออกแบบมาเพื่อวางไข่ cryptominers ผ่านคอนเทนเนอร์อิมเมจที่ติดไวรัส ผู้โจมตีไม่เพียงแต่ใช้ประโยชน์จากการพึ่งพาซอร์สโค้ดที่คิดกันโดยทั่วไปในการโจมตีห่วงโซ่อุปทานที่น่ารังเกียจเท่านั้น แต่ยังใช้ประโยชน์จากคอนเทนเนอร์อิมเมจที่เป็นอันตรายเป็นช่องทางการโจมตีที่มีประสิทธิภาพ ตามคำกล่าวของ Sysdigรายงานภัยคุกคามบนคลาวด์เนทีฟปี 2022".
อาชญากรไซเบอร์กำลังใช้ประโยชน์จากแนวโน้มภายในชุมชนการพัฒนาเพื่อแบ่งปันโค้ดและโปรเจ็กต์โอเพ่นซอร์สผ่านคอนเทนเนอร์อิมเมจที่สร้างไว้ล่วงหน้าผ่านการลงทะเบียนคอนเทนเนอร์เช่น Docker Hub คอนเทนเนอร์อิมเมจมีซอฟต์แวร์ที่จำเป็นทั้งหมดติดตั้งและกำหนดค่าไว้ในปริมาณงานที่ปรับใช้ได้ง่าย แม้ว่านี่จะช่วยประหยัดเวลาได้มากสำหรับนักพัฒนา แต่ก็ยังเปิดทางให้ผู้โจมตีสร้างอิมเมจที่มีเพย์โหลดที่เป็นอันตรายในตัว จากนั้นจึงเริ่มต้นแพลตฟอร์มเช่น DockerHub ด้วยโปรแกรมที่เป็นอันตราย สิ่งที่ต้องทำก็แค่นักพัฒนาเรียกใช้คำขอดึง Docker จากแพลตฟอร์มเพื่อให้อิมเมจที่เป็นอันตรายทำงาน ยิ่งไปกว่านั้น การดาวน์โหลดและติดตั้ง Docker Hub นั้นไม่ชัดเจน ทำให้มองเห็นปัญหาที่อาจเกิดขึ้นได้ยากยิ่งขึ้น
“เป็นที่ชัดเจนว่าภาพคอนเทนเนอร์ได้กลายเป็นเวกเตอร์การโจมตีที่แท้จริง แทนที่จะเป็นความเสี่ยงทางทฤษฎี” รายงานอธิบาย ซึ่งทีมวิจัยภัยคุกคาม Sysdig (TRT) ได้ใช้กระบวนการนานหลายเดือนในการกรองภาพคอนเทนเนอร์สาธารณะที่อัปโหลดโดยผู้ใช้ทั่วโลกไปยัง DockerHub เพื่อค้นหาอินสแตนซ์ที่เป็นอันตราย “วิธีการที่ใช้โดยผู้ไม่ประสงค์ดีที่ Sysdig TRT อธิบายไว้นั้นมีเป้าหมายเฉพาะที่ปริมาณงานบนคลาวด์และคอนเทนเนอร์”
การตามล่าของทีมพบภาพที่เป็นอันตรายมากกว่า 1,600 ภาพ ซึ่งมี cryptominers แบ็คดอร์ และมัลแวร์น่ารังเกียจอื่น ๆ ซึ่งปลอมตัวเป็นซอฟต์แวร์ยอดนิยมที่ถูกกฎหมาย Cryptominers นั้นแพร่หลายมากที่สุด โดยคิดเป็น 36% ของกลุ่มตัวอย่าง
“ทีมรักษาความปลอดภัยไม่สามารถหลอกตัวเองด้วยแนวคิดที่ว่า 'คอนเทนเนอร์ใหม่เกินไปหรือชั่วคราวเกินไปที่ผู้คุกคามจะรบกวนได้'” Stefano Chierici นักวิจัยด้านความปลอดภัยอาวุโสของ Sysdig และผู้ร่วมเขียนรายงานกล่าว “ผู้โจมตีอยู่ในคลาวด์ และพวกเขากำลังรับเงินจริง ความชุกของกิจกรรม cryptojacking สูงนั้นเนื่องมาจากมีความเสี่ยงต่ำและผลตอบแทนสูงสำหรับผู้กระทำผิด”
ทีมทีเอ็นทีและคิเมร่า
ในส่วนหนึ่งของรายงาน Chierici และเพื่อนร่วมงานของเขายังได้ทำการวิเคราะห์เชิงลึกทางเทคนิคเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอน (TTP) ของกลุ่มภัยคุกคาม TeamTNT ใช้งานมาตั้งแต่ปี 2019 กลุ่มตามแหล่งที่มาบางแห่งได้โจมตีอุปกรณ์คลาวด์และคอนเทนเนอร์มากกว่า 10,000 เครื่องในระหว่างหนึ่งในแคมเปญการโจมตีที่แพร่หลายที่สุด Chimera เป็นที่รู้จักดีที่สุดจากกิจกรรมเวิร์ม cryptojacking และตามรายงาน TeamTNT ยังคงปรับแต่งสคริปต์และ TTP ของตนต่อไปในปี 2022 ตัวอย่างเช่น ตอนนี้เชื่อมต่อสคริปต์กับบริการ AWS Cloud Metadata เพื่อใช้ประโยชน์จากข้อมูลรับรองที่เกี่ยวข้องกับอินสแตนซ์ EC2 และเข้าถึง ทรัพยากรอื่นๆ ที่เชื่อมโยงกับอินสแตนซ์ที่ถูกบุกรุก
“หากมีสิทธิ์มากเกินไปที่เกี่ยวข้องกับข้อมูลประจำตัวเหล่านี้ ผู้โจมตีก็อาจเข้าถึงได้มากขึ้นอีก Sysdig TRT เชื่อว่า TeamTNT ต้องการใช้ประโยชน์จากข้อมูลประจำตัวเหล่านี้ (หากมีความสามารถ) เพื่อสร้าง EC2 instance มากขึ้น เพื่อเพิ่มขีดความสามารถในการขุดคริปโตและผลกำไร” รายงานกล่าว
ในส่วนหนึ่งของการวิเคราะห์ ทีมงานได้ขุดเข้าไปในกระเป๋าเงิน XMR จำนวนหนึ่งที่ TeamTNT ใช้ระหว่างแคมเปญการขุดเพื่อค้นหาผลกระทบทางการเงินของการเข้ารหัสลับ
ด้วยการใช้การวิเคราะห์ทางเทคนิคของแนวทางปฏิบัติของกลุ่มภัยคุกคามระหว่างปฏิบัติการ Chimera Sysdig สามารถพบว่าฝ่ายตรงข้ามต้องเสียค่าใช้จ่าย 11,000 ดอลลาร์สหรัฐฯ สำหรับอินสแตนซ์ AWS EC2 เดียวสำหรับ XMR ทุกๆ ตัวที่ขุดได้ กระเป๋าเงินที่ทีมกู้คืนได้มีจำนวนประมาณ 40 XMR ซึ่งหมายความว่าผู้โจมตีเรียกเก็บเงินจากระบบคลาวด์เกือบ 430,000 ดอลลาร์เพื่อขุดเหรียญเหล่านั้น
จากการใช้การประเมินมูลค่าเหรียญเมื่อต้นปีนี้ รายงานได้ประมาณมูลค่าของเหรียญเหล่านั้นเท่ากับประมาณ 8,100 เหรียญสหรัฐ โดยการคำนวณด้านหลังซองแสดงให้เห็นว่าทุก ๆ ดอลลาร์ที่คนร้ายทำมา พวกเขาทำให้เหยื่อต้องเสียค่าใช้จ่ายอย่างน้อย 53 เหรียญสหรัฐในบิลคลาวด์เพียงอย่างเดียว
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
