Загрози для хмарної інфраструктури зростають, особливо тому, що зловмисники націлюються на хмарні та контейнерні ресурси для забезпечення своїх незаконних операцій криптомайнінгу. В останньому повороті кіберзлочинці сіють хаос у хмарних ресурсах, щоб як поширювати, так і керувати підприємствами криптозловмисників у дорогих схемах, які коштують жертвам близько 50 доларів США в хмарних ресурсах за кожен долар криптовалюти вартістю 1 долар, який шахраї видобувають із цих обчислювальних резервів.
Про це йдеться в новому звіті Sysdig, який показує, що, незважаючи на те, що зловмисники без розбору атакуватимуть будь-які слабкі хмарні або контейнерні ресурси, до яких вони зможуть дістати, щоб забезпечити прибуткові схеми криптомайнінгу, вони також мають розумну стратегію щодо цього.
Насправді, багато з найбільш хитрих атак на ланцюг поставок програмного забезпечення здебільшого створені для того, щоб породити криптомайнерів через заражені образи контейнерів. Зловмисники не лише використовують залежності вихідного коду, про які найчастіше думають у наступальних атаках на ланцюги поставок, — вони також використовують образи шкідливих контейнерів як ефективний засіб атаки, відповідно до Sysdig “Звіт про хмарні загрози за 2022 рік».
Кіберзлочинці користуються тенденцією в спільноті розробників ділитися кодом і проектами з відкритим вихідним кодом за допомогою готових зображень контейнерів через реєстри контейнерів, такі як Docker Hub. Образи контейнерів мають усе необхідне програмне забезпечення, яке встановлено та налаштовано в легкому для розгортання робочому навантаженні. Незважаючи на те, що це серйозно економить час для розробників, це також відкриває шлях для зловмисників, щоб створювати образи з вбудованим шкідливим навантаженням, а потім завантажувати такі шкідливі програми на такі платформи, як DockerHub. Все, що потрібно, щоб розробник запустив запит на отримання Docker з платформи, щоб запустити цей шкідливий образ. Більше того, завантаження та встановлення Docker Hub є непрозорими, тому виявити потенційні проблеми ще важче.
«Очевидно, що зображення контейнерів стали справжнім вектором атаки, а не теоретичним ризиком», — пояснюється у звіті, для якого група дослідження загроз Sysdig (TRT) пройшла місячний процес аналізу загальнодоступних зображень контейнерів, завантажених користувачами з усього світу. DockerHub для пошуку шкідливих екземплярів. «Методи, які використовують зловмисники, описані Sysdig TRT, спеціально націлені на хмарні та контейнерні навантаження».
Під час полювання команда виявила понад 1,600 шкідливих зображень, які містили криптомайнери, бекдори та інше неприємне шкідливе програмне забезпечення, замасковане під законне популярне програмне забезпечення. Криптомайнери були безперечно найпоширенішими, склавши 36% вибірок.
«Команди безпеки більше не можуть обманювати себе ідеєю, що «контейнери надто нові або надто ефемерні, щоб про них не турбувалися зловмисники», — каже Стефано К’єрічі, старший дослідник безпеки в Sysdig і співавтор звіту. «Зловмисники знаходяться в хмарі, і вони беруть реальні гроші. Висока поширеність криптозлому пояснюється низьким ризиком і високою винагородою для зловмисників».
Команда TNT і Химера
У рамках звіту К’єрічі та його колеги також провели глибокий технічний аналіз тактики, прийомів і процедур (TTP) групи загроз TeamTNT. Діючи з 2019 року, згідно з деякими джерелами, угруповання скомпрометувало понад 10,000 2022 хмарних і контейнерних пристроїв під час однієї з найпоширеніших кампаній атак Chimera. Він найбільш відомий своєю активністю хробака-криптозлому, і згідно зі звітом, TeamTNT продовжує вдосконалювати свої сценарії та свої TTP у 2 році. Наприклад, тепер він підключає сценарії до служби метаданих AWS Cloud, щоб використовувати облікові дані, пов’язані з екземпляром ECXNUMX, і отримати доступ до інші ресурси, прив’язані до скомпрометованого екземпляра.
«Якщо з цими обліковими даними пов’язані надмірні дозволи, зловмисник може отримати ще більше доступу. Sysdig TRT вважає, що TeamTNT хотів би використати ці облікові дані, якщо це можливо, щоб створити більше екземплярів EC2, щоб збільшити свої можливості криптомайнінгу та прибутки», — йдеться у звіті.
У рамках свого аналізу команда дослідила низку гаманців XMR, які використовує TeamTNT під час майнінгових кампаній, щоб з’ясувати фінансовий вплив криптоджекінгу.
Використовуючи технічний аналіз операційної практики групи загроз під час операції Chimera, Sysdig зміг виявити, що зловмисник коштував своїм жертвам 11,000 2 доларів США на одному екземплярі AWS EC40 за кожен XMR, який він видобув. Гаманці, які вилучила команда, становили приблизно 430,000 XMR, що означає, що зловмисники нарахували майже XNUMX XNUMX доларів США для видобутку цих монет.
Використовуючи оцінку монет, проведену на початку цього року, у звіті оцінили вартість цих монет приблизно в 8,100 доларів, причому на зворотному боці конверта було показано, що на кожен долар, який заробляють погані хлопці, вони обходяться жертвам принаймні в 53 долари лише в хмарних рахунках.
