Các mối đe dọa đối với cơ sở hạ tầng dựa trên đám mây đang gia tăng, đặc biệt là khi những kẻ tấn công nhắm mục tiêu vào các tài nguyên vùng chứa và đám mây để cung cấp năng lượng cho các hoạt động khai thác tiền điện tử bất hợp pháp của chúng. Trong diễn biến mới nhất, tội phạm mạng đang tàn phá tài nguyên đám mây để truyền bá và điều hành các doanh nghiệp tấn công tiền điện tử trong các kế hoạch tốn kém khiến nạn nhân phải trả khoảng 50 đô la tài nguyên đám mây cho mỗi loại tiền điện tử trị giá 1 đô la mà kẻ gian khai thác từ các nguồn dự trữ điện toán này.
Đó là theo một báo cáo mới hôm nay từ Sysdig, cho thấy rằng mặc dù kẻ xấu sẽ tấn công bừa bãi bất kỳ tài nguyên đám mây hoặc vùng chứa yếu nào mà chúng có thể nhúng tay vào để thực hiện các kế hoạch khai thác tiền điện tử kiếm tiền, nhưng chúng cũng có chiến lược khôn ngoan về nó.
Trên thực tế, nhiều cuộc tấn công chuỗi cung ứng phần mềm xảo quyệt nhất phần lớn được thiết kế để tạo ra những kẻ khai thác tiền điện tử thông qua hình ảnh vùng chứa bị nhiễm bệnh. Theo Sysdig, “Những kẻ tấn công không chỉ tận dụng sự phụ thuộc vào mã nguồn thường được nghĩ đến nhất trong các cuộc tấn công chuỗi cung ứng mang tính tấn công — chúng còn tận dụng các hình ảnh container độc hại như một phương tiện tấn công hiệu quả”.Báo cáo về mối đe dọa trên nền tảng đám mây năm 2022".
Tội phạm mạng đang lợi dụng xu hướng trong cộng đồng phát triển để chia sẻ mã và các dự án nguồn mở thông qua các hình ảnh vùng chứa được tạo sẵn thông qua các cơ quan đăng ký vùng chứa như Docker Hub. Hình ảnh vùng chứa có tất cả phần mềm cần thiết được cài đặt và định cấu hình trong khối lượng công việc dễ triển khai. Mặc dù đó là một cách tiết kiệm thời gian đáng kể cho các nhà phát triển, nhưng nó cũng mở ra một con đường cho những kẻ tấn công tạo ra các hình ảnh có tải trọng độc hại được tích hợp sẵn và sau đó gieo mầm các nền tảng như DockerHub bằng các sản phẩm độc hại của chúng. Tất cả những gì nhà phát triển cần làm là chạy yêu cầu kéo Docker từ nền tảng để chạy hình ảnh độc hại đó. Hơn nữa, quá trình tải xuống và cài đặt Docker Hub không rõ ràng, khiến việc phát hiện khả năng xảy ra sự cố càng khó khăn hơn.
Báo cáo giải thích: “Rõ ràng là các hình ảnh vùng chứa đã trở thành một phương tiện tấn công thực sự, chứ không phải là một rủi ro về mặt lý thuyết,” báo cáo giải thích. Nhóm nghiên cứu mối đe dọa Sysdig (TRT) đã trải qua quá trình kéo dài hàng tháng để sàng lọc các hình ảnh vùng chứa công cộng được người dùng trên toàn thế giới tải lên. DockerHub để tìm các trường hợp độc hại. “Các phương pháp được sử dụng bởi các tác nhân độc hại được Sysdig TRT mô tả được nhắm mục tiêu cụ thể vào khối lượng công việc trên đám mây và vùng chứa.”
Cuộc truy lùng của nhóm đã phát hiện hơn 1,600 hình ảnh độc hại chứa công cụ khai thác tiền điện tử, cửa hậu và các phần mềm độc hại khó chịu khác được ngụy trang dưới dạng phần mềm phổ biến hợp pháp. Công cụ khai thác tiền điện tử là phổ biến nhất, chiếm 36% số mẫu.
Stefano Chierici, nhà nghiên cứu bảo mật cấp cao tại Sysdig và đồng tác giả của báo cáo, cho biết: “Các nhóm bảo mật không còn có thể tự ảo tưởng với ý tưởng rằng 'các container quá mới hoặc quá phù hợp để các tác nhân đe dọa bận tâm'”. “Những kẻ tấn công đang ở trên đám mây và chúng đang lấy tiền thật. Sự phổ biến cao của hoạt động tấn công bằng tiền điện tử là do rủi ro thấp và phần thưởng cao cho thủ phạm.”
TeamTNT và Chimera
Là một phần của báo cáo, Chierici và các đồng nghiệp của ông cũng đã thực hiện phân tích kỹ thuật chuyên sâu về chiến thuật, kỹ thuật và quy trình (TTP) của nhóm đe dọa TeamTNT. Hoạt động từ năm 2019, nhóm này theo một số nguồn tin đã xâm phạm hơn 10,000 thiết bị đám mây và vùng chứa trong một trong những chiến dịch tấn công phổ biến nhất của nhóm, Chimera. Nổi tiếng với hoạt động tấn công sâu mã hóa và theo báo cáo, TeamTNT tiếp tục tinh chỉnh các tập lệnh và TTP của mình vào năm 2022. Ví dụ: hiện tại, TeamTNT kết nối các tập lệnh với dịch vụ Siêu dữ liệu đám mây AWS để tận dụng thông tin xác thực liên kết với phiên bản EC2 và giành quyền truy cập vào các tài nguyên khác gắn liền với một phiên bản bị xâm phạm.
“Nếu có quá nhiều quyền liên quan đến những thông tin xác thực này, kẻ tấn công có thể giành được nhiều quyền truy cập hơn nữa. Sysdig TRT tin rằng TeamTNT sẽ muốn tận dụng những thông tin xác thực này, nếu có thể, để tạo ra nhiều phiên bản EC2 hơn nhằm có thể tăng khả năng khai thác tiền điện tử và lợi nhuận của mình,” báo cáo cho biết.
Là một phần trong quá trình phân tích, nhóm đã nghiên cứu một số ví XMR được TeamTNT sử dụng trong các chiến dịch khai thác để tìm ra tác động tài chính của việc cướp tiền điện tử.
Bằng cách sử dụng phân tích kỹ thuật về hoạt động hoạt động của nhóm đe dọa trong hoạt động Chimera, Sysdig có thể phát hiện ra rằng đối thủ đã khiến nạn nhân phải trả 11,000 USD trên một phiên bản AWS EC2 duy nhất cho mỗi XMR mà nó khai thác được. Số ví mà nhóm đã thu hồi được trị giá khoảng 40 XMR, có nghĩa là những kẻ tấn công đã tiêu tốn một hóa đơn đám mây trị giá gần 430,000 USD để khai thác những đồng tiền đó.
Sử dụng định giá tiền xu từ đầu năm nay, báo cáo ước tính giá trị của những đồng xu đó tương đương khoảng 8,100 đô la, với số liệu ẩn sau đó cho thấy rằng với mỗi đô la mà kẻ xấu kiếm được, chúng đã tiêu tốn của nạn nhân ít nhất 53 đô la chỉ tính riêng hóa đơn đám mây.
