Криптоджекінг повертається, і зловмисники використовують різноманітні схеми, щоб вилучити вільну обчислювальну потужність із хмарної інфраструктури, щоб зосередитися на майнінгу криптовалют, таких як Bitcoin і Monero.
За словами Sysdig, постачальника безпеки для хмарних сервісів, криптомайнери використовують наявність безкоштовних пробних версій деяких із найбільших служб постійної інтеграції та розгортання (CI/CD) для розгортання коду та створення платформ розподіленого майнінгу. Зловмисники також націлені на неправильно налаштовані екземпляри Kubernetes і Docker, щоб отримати доступ до хост-систем і запустити програмне забезпечення для криптомайнінгу, попередила цього тижня компанія з кібербезпеки CrowdStrike.
Обидві тактики насправді лише намагаються заробити на зростанні цифрових валют за чийсь інший рахунок, каже Манодж Ахудже, старший дослідник загроз із хмарної безпеки в CrowdStrike.
«Поки скомпрометоване робоче навантаження доступне, по суті, це безкоштовні обчислення — для криптомайнера це вже виграш, оскільки його вхідна вартість стає нульовою», — каже він. «І … якщо зловмисник може ефективно скомпрометувати велику кількість таких робочих навантажень шляхом краудсорсингу обчислень для майнінгу, це допоможе досягти мети швидше та видобути більше за той самий проміжок часу».
Зусилля з видобутку криптовалют з часом збільшуються, навіть якщо вартість криптовалют різко впала за останні 11 місяців. Біткойн, наприклад, є знизився на 70% від свого піку в листопаді 2021 року, що впливає на багато сервісів на основі криптовалюти. Однак останні атаки показують, що кіберзлочинці прагнуть зірвати найнижчий плід.
Можливо, злом хмарної інфраструктури провайдерів не завдасть шкоди бізнесу, але ціна таких зломів зменшиться. Sysdig виявив, що зловмисник зазвичай заробляйте лише 1 долар за кожні 53 долари вартості несуть власники хмарної інфраструктури. Видобуток однієї монети Monero за допомогою безкоштовних пробних версій на GitHub, наприклад, обійдеться цій компанії в понад 100,000 XNUMX доларів США втраченого доходу, підрахував Sysdig.
Проте компанії можуть спочатку не помітити шкоди в криптомайнінгу, каже Крістал Морін, дослідник загроз у Sysdig.
«Вони нікому не завдають шкоди безпосередньо, наприклад, забирають чиюсь інфраструктуру чи викрадають дані з підприємств, але якщо вони розширять це чи інші групи скористаються цим типом операцій — «безкоштовним» — це може завдати фінансової шкоди цим провайдерам. і вплине — на задній частині — на користувачів, припиняючи безкоштовні пробні версії або змушуючи законних користувачів платити більше», — каже вона.
Криптомайнери всюди
Остання атака, яку Sysdig назвала PURPLEURCHIN, схоже, є спробою об’єднати мережу криптомайнінгу з якомога більшої кількості сервісів, які пропонують безкоштовні пробні версії. Дослідники Sysdig виявили, що остання мережа криптомайнінгу використовує 30 облікових записів GitHub, 2,000 облікових записів Heroku і 900 облікових записів Buddy. Група кіберзлочинців завантажує контейнер Docker, запускає програму JavaScript і завантажує в певний контейнер.
Успіх атаки насправді зумовлений зусиллями групи кіберзлочинців щодо максимальної автоматизації, каже Майкл Кларк, директор із дослідження загроз Sysdig.
«Вони дійсно автоматизували процес входу в нові облікові записи», — каже він. «Вони використовують обхід CAPTCHA, візуальну та звукову версії. Вони створюють нові домени та розміщують сервери електронної пошти на створеній ними інфраструктурі. Це все модульно, тому вони створюють купу контейнерів на віртуальному хості».
GitHub, наприклад, пропонує 2,000 безкоштовних хвилин GitHub Action на місяць на своєму безкоштовному рівні, що може становити до 33 годин роботи для кожного облікового запису, повідомляє Sysdig у своєму аналізі.
Поцілунок собаки
Кампанія криптоджекінгу Виявлено CrowdStrike націлено на вразливу інфраструктуру Docker і Kubernetes. Під назвою Kiss-a-Dog кампанія криптомайнерів використовує кілька командно-контрольних (C2) серверів для стійкості, використовуючи руткіти, щоб уникнути виявлення. Він включає низку інших можливостей, таких як розміщення бекдорів у будь-яких скомпрометованих контейнерах і використання інших методів для досягнення стійкості.
Методи атаки нагадують методи інших груп, досліджених CrowdStrike, зокрема LemonDuck і Watchdog. Але більшість тактик подібні до TeamTNT, яка також була націлена на вразливу та неправильно налаштовану інфраструктуру Docker і Kubernetes, повідомляє CrowdStrike у своїй консультації.
Незважаючи на те, що такі атаки можуть не виглядати як порушення, компаніям слід серйозно ставитися до будь-яких ознак того, що зловмисники мають доступ до їхньої хмарної інфраструктури, каже Ахудже з CrowdStrike.
«Коли зловмисники запускають криптомайнер у вашому середовищі, це свідчить про те, що ваша перша лінія захисту не працює», — каже він. «Криптомайнери не залишають каменів на камені, щоб використати цю поверхню атак у своїх інтересах».
