Cryptojacking กำลังคืบคลานกลับมา โดยผู้โจมตีใช้แผนการที่หลากหลายเพื่อดูดพลังการประมวลผลฟรีจากโครงสร้างพื้นฐานคลาวด์ เพื่อมุ่งเน้นไปที่การขุด cryptocurrencies เช่น Bitcoin และ Monero
นักขุดคริปโตกำลังทดลองใช้บริการฟรีสำหรับบริการบูรณาการและปรับใช้อย่างต่อเนื่องที่ใหญ่ที่สุด (CI/CD) เพื่อปรับใช้โค้ดและสร้างแพลตฟอร์มการขุดแบบกระจาย ตามข้อมูลของ Sysdig ผู้ให้บริการความปลอดภัยสำหรับบริการบนคลาวด์ ผู้โจมตียังถูกกำหนดเป้าหมายไปยังอินสแตนซ์ Kubernetes และ Docker ที่กำหนดค่าไม่ถูกต้องเพื่อเข้าถึงระบบโฮสต์และเรียกใช้ซอฟต์แวร์การขุด crypto บริษัทบริการรักษาความปลอดภัยทางไซเบอร์ CrowdStrike เตือนในสัปดาห์นี้
กลยุทธ์ทั้งสองเป็นเพียงการพยายามหาเงินจากการเพิ่มขึ้นของสกุลเงินดิจิทัลด้วยค่าใช้จ่ายของคนอื่น Manoj Ahuje นักวิจัยภัยคุกคามอาวุโสด้านความปลอดภัยบนคลาวด์ของ CrowdStrike กล่าว
“ตราบใดที่เวิร์กโหลดที่ถูกบุกรุกยังมีอยู่ โดยพื้นฐานแล้ว มันเป็นการประมวลผลฟรี สำหรับนักขุดคริปโต นั่นคือชัยชนะในตัวเองเมื่อต้นทุนอินพุตของเขากลายเป็นศูนย์” เขากล่าว “และ…หากผู้โจมตีสามารถประนีประนอมกับปริมาณงานจำนวนมากได้อย่างมีประสิทธิภาพโดยการระดมทุนจากคอมพิวเตอร์เพื่อการขุด มันจะช่วยให้บรรลุเป้าหมายเร็วขึ้นและขุดได้มากขึ้นในระยะเวลาเท่ากัน”
ความพยายามในการขุด Cryptomining เพิ่มขึ้นเมื่อเวลาผ่านไป แม้ว่ามูลค่าของ Cryptocurrencies จะลดลงในช่วง 11 เดือนที่ผ่านมา ตัวอย่างเช่น Bitcoin คือ ลดลง 70% จากจุดสูงสุดในเดือนพฤศจิกายน 2021ส่งผลกระทบต่อบริการที่ใช้สกุลเงินดิจิทัลมากมาย อย่างไรก็ตาม การโจมตีล่าสุดแสดงให้เห็นว่าอาชญากรไซเบอร์กำลังมองหาผลไม้ที่แขวนอยู่ต่ำที่สุด
โครงสร้างพื้นฐานคลาวด์ของผู้ให้บริการที่ประนีประนอมอาจไม่เป็นอันตรายต่อธุรกิจ แต่ต้นทุนของการแฮ็กดังกล่าวจะลดลง Sysdig พบว่าผู้โจมตีมักจะ ทำเงินเพียง $1 สำหรับทุก ๆ $53 ของค่าใช้จ่าย เป็นภาระของเจ้าของโครงสร้างพื้นฐานคลาวด์ การขุดเหรียญ Monero เพียงเหรียญเดียวโดยใช้การทดลองใช้ฟรีบน GitHub จะทำให้บริษัทต้องสูญเสียรายได้มากกว่า 100,000 ดอลลาร์ Sysdig ประมาณการ
แต่บริษัทต่างๆ อาจไม่เห็นอันตรายจากการขุด crypto ในตอนแรก Crystal Morin นักวิจัยภัยคุกคามที่ Sysdig กล่าว
“พวกเขาไม่ได้ทำร้ายใครโดยตรง เช่น การเอาโครงสร้างพื้นฐานของใครบางคนหรือการขโมยข้อมูลจากธุรกิจ แต่ถ้าพวกเขาจะขยายขนาดหรือกลุ่มอื่น ๆ ใช้ประโยชน์จากการดำเนินการประเภทนี้ - 'freejacking' - อาจเริ่มสร้างความเสียหายทางการเงินแก่ผู้ให้บริการเหล่านี้ และผลกระทบต่อผู้ใช้ในส่วนหลัง โดยช่วงทดลองใช้ฟรีจะถูกยกเลิกหรือบังคับให้ผู้ใช้ที่ถูกกฎหมายต้องจ่ายเงินเพิ่ม” เธอกล่าว
Cryptominers ทุกที่
การโจมตีล่าสุดซึ่ง Sysdig ขนานนามว่า PURPLEURCHIN ดูเหมือนจะเป็นความพยายามที่จะรวมเครือข่ายการขุด cryptomining จากบริการต่างๆ ที่ให้ทดลองใช้ฟรีมากที่สุดเท่าที่จะเป็นไปได้ นักวิจัยของ Sysdig ค้นพบว่าเครือข่ายการเข้ารหัสลับล่าสุดใช้บัญชี GitHub 30 บัญชี บัญชี Heroku 2,000 บัญชี และบัญชี Buddy 900 บัญชี กลุ่มอาชญากรไซเบอร์ดาวน์โหลดคอนเทนเนอร์ Docker รันโปรแกรม JavaScript และโหลดในคอนเทนเนอร์เฉพาะ
ไมเคิล คลาร์ก ผู้อำนวยการฝ่ายวิจัยภัยคุกคามของ Sysdig กล่าวว่าความสำเร็จของการโจมตีดังกล่าวได้รับแรงผลักดันจากความพยายามของกลุ่มอาชญากรไซเบอร์ในการดำเนินการอัตโนมัติให้มากที่สุดเท่าที่จะเป็นไปได้
“พวกเขาทำให้กิจกรรมการเข้าบัญชีใหม่เป็นแบบอัตโนมัติจริงๆ” เขากล่าว “พวกเขาใช้การเลี่ยงผ่าน CAPTCHA ทั้งภาพและเสียง พวกเขาสร้างโดเมนใหม่และโฮสต์เซิร์ฟเวอร์อีเมลบนโครงสร้างพื้นฐานที่พวกเขาสร้างขึ้น มันเป็นโมดูลาร์ทั้งหมด ดังนั้นพวกมันจึงสร้างคอนเทนเนอร์จำนวนมากบนโฮสต์เสมือน”
ตัวอย่างเช่น GitHub เสนอนาทีการดำเนินการ GitHub ฟรี 2,000 นาทีต่อเดือนในระดับฟรี ซึ่งอาจใช้เวลาทำงานสูงสุด 33 ชั่วโมงสำหรับทุกบัญชี Sysdig ระบุไว้ในการวิเคราะห์
จูบ-a-สุนัข
แคมเปญ cryptojacking ค้นพบ CrowdStrike กำหนดเป้าหมายโครงสร้างพื้นฐาน Docker และ Kubernetes ที่มีช่องโหว่ เรียกว่าแคมเปญ Kiss-a-Dog นักขุดคริปโตใช้เซิร์ฟเวอร์คำสั่งและการควบคุม (C2) หลายตัวเพื่อความยืดหยุ่น โดยใช้รูทคิทเพื่อหลีกเลี่ยงการตรวจจับ มันมีความสามารถอื่นๆ ที่หลากหลาย เช่น การวางแบ็คดอร์ในคอนเทนเนอร์ที่ถูกบุกรุก และการใช้เทคนิคอื่นๆ เพื่อเพิ่มความคงอยู่
เทคนิคการโจมตีคล้ายกับกลุ่มอื่นๆ ที่ CrowdStrike สอบสวน รวมถึง LemonDuck และ Watchdog แต่กลยุทธ์ส่วนใหญ่นั้นคล้ายคลึงกับ TeamTNT ซึ่งกำหนดเป้าหมายโครงสร้างพื้นฐาน Docker และ Kubernetes ที่มีช่องโหว่และกำหนดค่าไม่ถูกต้อง CrowdStrike ระบุไว้ในคำแนะนำ
แม้ว่าการโจมตีดังกล่าวอาจไม่รู้สึกเหมือนเป็นการละเมิด แต่บริษัทต่างๆ ควรให้ความสำคัญกับสัญญาณใดๆ ที่แสดงว่าผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐานระบบคลาวด์ของตนได้ Ahuje จาก CrowdStrike กล่าว
“เมื่อผู้โจมตีใช้งาน cryptominer ในสภาพแวดล้อมของคุณ นี่เป็นอาการที่การป้องกันแนวแรกของคุณล้มเหลว” เขากล่าว “นักขุดคริปโตจะไม่ละทิ้งหินใด ๆ เพื่อใช้ประโยชน์จากพื้นผิวการโจมตีนี้เพื่อประโยชน์ของพวกเขา”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
