Uma nova operação de cripto-jacking nativa da nuvem voltou seus olhos para serviços incomuns da Amazon Web Services (AWS) como AWS Amplify, AWS Fargate e Amazon SageMaker para minerar ilicitamente criptomoedas.
A atividade cibernética maliciosa foi codinomeada AMBERSQUID pela empresa de segurança de nuvem e contêiner Sysdig.
"A operação AMBERSQUID conseguiu explorar os serviços de nuvem sem acionar o requisito AWS para aprovação de mais recursos, como seria o caso se apenas invadissem o EC2", disse o pesquisador de segurança da Sysdig, Alessandro Brucato, em um relatório compartilhado com o The Hacker News.
"Visar múltiplos serviços também apresenta desafios adicionais, como resposta a incidentes, uma vez que exige a localização e a eliminação de todos os mineradores em cada serviço explorado."
A Sysdig disse que descobriu a campanha após uma análise de 1,7 milhão de imagens no Docker Hub, atribuindo-a com confiança moderada a atacantes da Indonésia com base no uso de idioma indonésio em scripts e nomes de usuário.
Algumas destas imagens foram projetadas para executar miners de criptomoeda baixados de repositórios GitHub controlados pelo ator, enquanto outras rodam scripts shell direcionados à AWS.
Uma característica chave é o abuso do AWS CodeCommit, utilizado para hospedar repositórios Git privados, para "gerar um repositório privado que é então usado em diferentes serviços como fonte".
O repositório contém o código fonte de um aplicativo AWS Amplify que, por sua vez, é utilizado por um script shell para criar um aplicativo web Amplify e finalmente lançar o minerador de criptomoedas.
Os atores de ameaças também foram observados empregando scripts shell para realizar o cripto-jacking em instâncias AWS Fargate e SageMaker, gerando custos computacionais significativos para as vítimas.
A Sysdig estima que o AMBERSQUID poderia resultar em perdas de mais de $10.000 por dia se focasse em todas as regiões da AWS.
Uma análise adicional dos endereços das carteiras utilizadas revela que os atacantes já faturaram mais de $18.300 até agora.
Esta não é a primeira vez que atores de ameaças da Indonésia estão ligados a campanhas de cripto-jacking.
Em maio de 2023, a Permiso P0 Labs detalhou um ator chamado GUI-vil que foi visto explorando instâncias de Nuvem Computacional Elástica (EC2) da AWS para realizar operações de mineração de criptomoedas.
Michael Clark, diretor de pesquisa de ameaças na Sysdig, disse ao site The Hacker News que "não parece haver muita sobreposição entre os TTPs dos dois ataques", e que eles são muito provavelmente realizados por diferentes grupos.
"Mas isso mostra que a Indonésia tem uma comunidade próspera em torno do cripto-jacking", apontou Clark.
"Embora a maioria dos atacantes motivados financeiramente se concentrem em serviços de computação, como o EC2, é importante lembrar que muitos outros serviços também fornecem acesso a recursos computacionais (ainda que de forma mais indireta)", disse Brucato.
"É fácil para esses serviços serem negligenciados de uma perspectiva de segurança, já que há menos visibilidade em comparação com a detecção de ameaças em tempo real.
Achou este artigo interessante? Siga-nos no Twitter e no LinkedIn para ler mais conteúdo exclusivo que postamos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...