加密货币劫持正在悄然卷土重来,攻击者使用各种方案从云基础设施中获取免费的处理能力,专注于挖掘比特币和门罗币等加密货币。
云原生服务安全提供商 Sysdig 表示,加密矿工正在利用一些最大的持续集成和部署 (CI/CD) 服务的免费试用来部署代码并创建分布式挖矿平台。网络安全服务公司 CrowdStrike 本周警告说,攻击者还瞄准了配置错误的 Kubernetes 和 Docker 实例,以访问主机系统并运行加密货币挖矿软件。
CrowdStrike 云安全高级威胁研究员 Manoj Ahuje 表示,这两种策略实际上只是试图以牺牲他人利益为代价,从数字货币的崛起中获利。
“只要妥协的工作负载可用,本质上,它就是免费计算——对于加密矿工来说,这本身就是一种胜利,因为他的输入成本变为零,”他说。 “而且……如果攻击者可以通过众包挖矿计算来有效破坏大量此类工作负载,则有助于更快地实现目标,并在相同的时间内挖掘更多数据。”
尽管加密货币的价值在过去 11 个月里暴跌,但加密货币挖矿活动却随着时间的推移而不断增加。以比特币为例, 较 70 年 2021 月的峰值下降 XNUMX%,影响许多基于加密货币的服务。然而,最新的攻击表明,网络犯罪分子正在寻求摘取最容易实现的目标。
损害提供商的云基础设施似乎不会损害企业,但此类黑客攻击的成本将会逐渐下降。 Sysdig 发现攻击者通常 每 1 美元成本仅赚取 53 美元 由云基础设施的所有者承担。例如,Sysdig 估计,使用 GitHub 上的免费试用来开采一枚门罗币将导致该公司损失超过 100,000 万美元的收入。
然而,Sysdig 威胁研究员 Crystal Morin 表示,公司最初可能没有意识到加密货币挖矿的危害。
“他们不会直接伤害任何人,例如夺取某人的基础设施或窃取企业数据,但如果他们扩大规模,或者其他团体利用这种类型的操作 - '免费劫持' - 可能会开始对这些提供商造成经济损失并在后端影响用户,免费试用消失或迫使合法用户支付更多费用,”她说。
加密矿工无处不在
Sysdig 将最新的攻击称为“PURPLEURCHIN”,似乎是为了从尽可能多的提供免费试用的服务中拼凑出一个加密货币挖矿网络。 Sysdig 的研究人员发现,最新的加密货币挖矿网络使用了 30 个 GitHub 帐户、2,000 个 Heroku 帐户和 900 个 Buddy 帐户。网络犯罪团伙下载 Docker 容器,运行 JavaScript 程序,然后加载到特定容器中。
Sysdig 威胁研究总监迈克尔·克拉克 (Michael Clark) 表示,这次攻击的成功实际上是由网络犯罪组织尽可能实现自动化的努力推动的。
“他们确实实现了新账户注册活动的自动化,”他说。 “他们使用验证码绕过、视觉版本和音频版本。他们创建新的域,并在他们构建的基础设施上托管电子邮件服务器。它都是模块化的,因此他们在虚拟主机上启动一堆容器。”
例如,Sysdig 在其分析中表示,GitHub 在其免费套餐中每月提供 2,000 分钟的免费 GitHub Action 分钟,这可以为每个帐户提供长达 33 小时的运行时间。
亲吻狗
加密劫持活动 发现了 CrowStrike 针对易受攻击的 Docker 和 Kubernetes 基础设施。被称为 Kiss-a-Dog 活动的加密矿工使用多个命令和控制 (C2) 服务器来实现弹性,并使用 rootkit 来避免检测。它包括各种其他功能,例如在任何受感染的容器中放置后门以及使用其他技术来获得持久性。
这些攻击技术类似于 CrowdStrike 调查的其他组织的攻击技术,包括 LemonDuck 和 Watchdog。但 CrowdStrike 在其咨询中表示,大多数策略与 TeamTNT 类似,TeamTNT 也针对易受攻击且配置错误的 Docker 和 Kubernetes 基础设施。
CrowdStrike 的 Ahuje 表示,虽然此类攻击可能不会让人感觉像是违规,但公司应该认真对待攻击者有权访问其云基础设施的任何迹象。
“当攻击者在你的环境中运行加密货币挖矿程序时,这是你的第一道防线失败的症状,”他说。 “加密矿工正在不遗余力地利用这个攻击面来为自己谋利。”
