针对云原生基础设施的威胁正在上升,特别是当攻击者瞄准云和容器资源来为其非法加密货币挖矿操作提供支持时。 在最新的转折中,网络犯罪分子正在对云资源造成严重破坏,以在昂贵的计划中传播和运行加密劫持企业,骗子从这些计算储备中挖掘出价值 50 美元的加密货币,受害者就会损失约 1 美元的云资源。
这是根据 Sysdig 今天发布的一份新报告得出的结论,该报告表明,虽然坏人会不分青红皂白地攻击任何薄弱的云或容器资源,但他们可以利用这些资源来推动赚钱的加密货币挖矿计划,而且他们对此也很有策略。
事实上,许多最狡猾的软件供应链攻击在很大程度上是为了通过受感染的容器镜像来生成加密矿工。 根据 Sysdig 的“2022 年云原生威胁报告设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
网络犯罪分子正在利用开发社区中的趋势,通过 Docker Hub 等容器注册表通过预制容器镜像共享代码和开源项目。 容器镜像在易于部署的工作负载中安装和配置了所有必需的软件。 虽然这为开发人员节省了大量时间,但它也为攻击者开辟了一条途径,让他们可以创建内置恶意负载的图像,然后将恶意软件植入 DockerHub 等平台。 开发人员只需从平台运行 Docker 拉取请求即可运行该恶意映像。 更重要的是,Docker Hub 下载和安装是不透明的,这使得发现潜在问题变得更加困难。
“很明显,容器镜像已经成为一个真正的攻击媒介,而不是理论上的风险,”报告解释说,为此,Sysdig 威胁研究团队 (TRT) 经历了长达一个月的过程,筛选全球用户上传到DockerHub 查找恶意实例。 “Sysdig TRT 描述的恶意行为者采用的方法专门针对云和容器工作负载。”
该团队在搜寻过程中发现了 1,600 多张恶意图像,其中包含加密矿工、后门程序和其他伪装成合法流行软件的恶意软件。 Cryptominers 无疑是最普遍的,占样本的 36%。
Sysdig 的高级安全研究员兼该报告的合著者 Stefano Chierici 说:“安全团队不能再自欺欺人地认为‘容器太新或太短暂,威胁者无法打扰’。” “攻击者在云端,他们正在拿走真钱。 加密货币劫持活动的高发归因于犯罪者的低风险和高回报。”
TeamTNT 和奇美拉
作为报告的一部分,Chierici 和他的同事还对 TeamTNT 威胁组织的战术、技术和程序 (TTP) 进行了深入的技术分析。 据一些消息来源称,该组织自 2019 年以来一直活跃,在其最普遍的攻击活动之一 Chimera 中,已经破坏了 10,000 多台云和容器设备。 它以加密货币劫持蠕虫活动而闻名,根据该报告,TeamTNT 将在 2022 年继续完善其脚本和 TTP。例如,它现在将脚本与 AWS 云元数据服务连接起来,以利用与 EC2 实例关联的凭证并获得对与受感染实例相关的其他资源。
“如果与这些凭据关联的权限过多,攻击者可以获得更多访问权限。 Sysdig TRT 认为 TeamTNT 会希望利用这些凭证(如果有能力的话)来创建更多的 EC2 实例,从而提高其加密挖矿能力和利润,”报告称。
作为分析的一部分,该团队深入挖掘了 TeamTNT 在挖矿活动中使用的多个 XMR 钱包,以了解加密货币劫持的财务影响。
利用对威胁组织在 Chimera 行动期间的操作实践的技术分析,Sysdig 能够发现对手在单个 AWS EC11,000 实例上为其挖掘的每个 XMR 花费了受害者 2 美元。 该团队收回的钱包总计约 40 XMR,这意味着攻击者开出近 430,000 美元的云账单来开采这些代币。
该报告使用今年早些时候的硬币估值,估计这些硬币的价值约为 8,100 美元,然后根据信封背面的数字显示,坏人每赚到 53 美元,仅云账单一项,受害者就至少要花费 XNUMX 美元。
