Özellikle saldırganların yasa dışı kripto madenciliği operasyonlarını güçlendirmek için bulut ve konteyner kaynaklarını hedef alması nedeniyle bulut tabanlı altyapıya yönelik tehditler artıyor. En son gelişmede, siber suçlular, dolandırıcıların bu bilgi işlem rezervlerinden çıkardığı her 50 ABD doları değerindeki kripto para birimi için kurbanlara bulut kaynaklarında yaklaşık 1 ABD dolarına mal olan maliyetli planlarla kripto hırsızlığı girişimlerini hem yaymak hem de işletmek için bulut kaynaklarına zarar veriyor.
Bu, Sysdig'in bugün yayınladığı yeni bir rapora göre, kötü adamların, para kazandıran kripto madenciliği planlarını güçlendirmek için ellerine geçirebilecekleri zayıf bulut veya konteyner kaynaklarına ayrım gözetmeksizin saldırırken, aynı zamanda bu konuda akıllıca stratejik davrandıklarını gösteriyor.
Aslında, en kurnaz yazılım tedarik zinciri saldırılarının çoğu, büyük ölçüde, virüslü konteyner görüntüleri aracılığıyla kripto madencileri oluşturmak için tasarlanmıştır. Sysdig'e göre, saldırganlar yalnızca saldırgan tedarik zinciri saldırılarında en sık düşünülen kaynak kodu bağımlılıklarından yararlanmakla kalmıyor, aynı zamanda etkili bir saldırı aracı olarak kötü amaçlı konteyner görüntülerinden de yararlanıyor.2022 Bulutta Yerel Tehdit Raporu".
Siber suçlular, geliştirme topluluğu içindeki Docker Hub gibi konteyner kayıtları aracılığıyla önceden hazırlanmış konteyner görüntüleri aracılığıyla kod ve açık kaynak projelerini paylaşma eğiliminden yararlanıyor. Konteyner görüntüleri, dağıtımı kolay bir iş yükünde gerekli tüm yazılımları yükler ve yapılandırır. Bu, geliştiriciler için ciddi bir zaman tasarrufu sağlarken, saldırganların yerleşik kötü amaçlı yüklere sahip görüntüler oluşturması ve ardından kötü amaçlı yazılımlarını DockerHub gibi platformlara yerleştirmesi için de bir yol açıyor. Bir geliştiricinin bu kötü amaçlı görüntünün çalışmasını sağlamak için platformdan bir Docker çekme isteği çalıştırması yeterlidir. Dahası, Docker Hub'ın indirilmesi ve kurulumunun şeffaf olmaması, olası sorunların tespit edilmesini daha da zorlaştırıyor.
Sysdig Tehdit Araştırma Ekibi'nin (TRT) dünya çapındaki kullanıcılar tarafından yüklenen genel konteyner görüntülerini aylarca süren bir eleme sürecinden geçirdiği raporda, "Konteyner görüntülerinin teorik bir riskten ziyade gerçek bir saldırı vektörü haline geldiği açık" ifadesine yer verildi. Kötü niyetli örnekleri bulmak için DockerHub. “Sysdig TRT'nin açıkladığı kötü niyetli aktörlerin kullandığı yöntemler özellikle bulut ve konteyner iş yüklerini hedef alıyor.”
Ekibin araştırması, kripto madencileri, arka kapılar ve meşru popüler yazılım olarak gizlenen diğer kötü amaçlı yazılımları içeren 1,600'den fazla kötü amaçlı görüntüyü ortaya çıkardı. Kripto madencileri açık ara en yaygın olanıydı ve örneklerin %36'sını oluşturuyordu.
Sysdig'de kıdemli güvenlik araştırmacısı ve raporun ortak yazarı Stefano Chierici, "Güvenlik ekipleri artık 'konteynerlerin tehdit aktörlerinin uğraşamayacağı kadar yeni veya çok geçici olduğu fikriyle kendilerini kandıramazlar'' diyor. “Saldırganlar bulutta ve gerçek para alıyorlar. Kripto hırsızlığı faaliyetinin yüksek yaygınlığı, faillere verilen düşük risk ve yüksek ödülle ilişkilendirilebilir."
TeamTNT ve Chimera
Raporun bir parçası olarak Chierici ve meslektaşları ayrıca TeamTNT tehdit grubunun taktikleri, teknikleri ve prosedürleri (TTP'ler) hakkında derinlemesine bir teknik analiz yaptı. Bazı kaynaklara göre 2019'dan bu yana aktif olan grup, en yaygın saldırı kampanyalarından biri olan Chimera sırasında 10,000'den fazla bulut ve konteyner cihazını ele geçirdi. En çok kripto korsanlık solucanı faaliyetiyle tanınıyor ve rapora göre TeamTNT, komut dosyalarını ve TTP'lerini 2022'de geliştirmeye devam ediyor. Örneğin, artık bir EC2 bulut sunucusuyla ilişkili kimlik bilgilerinden yararlanmak ve erişim kazanmak için komut dosyalarını AWS Bulut Meta Veri hizmetine bağlıyor. güvenliği ihlal edilmiş bir örneğe bağlı diğer kaynaklar.
"Bu kimlik bilgileriyle ilişkili aşırı izinler varsa saldırgan daha da fazla erişim elde edebilir. Raporda, Sysdig TRT, TeamTNT'nin, eğer yeteneği varsa, daha fazla EC2 örneği oluşturmak ve böylece kripto madencilik yeteneklerini ve kârını artırmak için bu kimlik bilgilerinden yararlanmak isteyeceğine inanıyor." ifadeleri kullanıldı.
Analizin bir parçası olarak ekip, kripto hırsızlığının finansal etkisini anlamak için TeamTNT tarafından madencilik kampanyaları sırasında kullanılan bir dizi XMR cüzdanını inceledi.
Chimera operasyonu sırasında tehdit grubunun operasyonel uygulamalarına ilişkin teknik analizden yararlanan Sysdig, düşmanın çıkardığı her XMR için tek bir AWS EC11,000 bulut sunucusunda kurbanlarına 2 dolara mal olduğunu tespit etti. Ekibin kurtardığı cüzdanların miktarı yaklaşık 40 XMR'ydi; bu, saldırganların bu paraları çıkarmak için yaklaşık 430,000 dolarlık bir bulut faturası topladığı anlamına geliyordu.
Bu yılın başındaki madeni para değerlemesini kullanan rapor, bu madeni paraların değerinin yaklaşık 8,100 dolara eşit olduğunu tahmin ediyor; zarfın arkası, kötü adamların kazandığı her doların kurbanlara yalnızca bulut faturalarında en az 53 dolara mal olduğunu gösteriyor.
