Ques/Help/Req Криптоджекинг AMBERSQUID нацелен на необычные сервисы Amazon Web Services

[XakeR]

Компания Sysdig, занимающаяся облачной и контейнерной безопасностью, обнаружила незаконную майнинговую кампанию AMBERSQUID, которая использует для добычи криптовалюты необычные сервисы Amazon Web Services (AWS), включая AWS Amplify, AWS Fargate и Amazon SageMaker, а не просто EC2, как обычно поступают хакеры.

Общая схема AMBERSQUID

«Активность AMBERSQUID способна эксплуатировать облачные сервисы, не провоцируя запрос на одобрение дополнительных ресурсов от AWS, как было бы в том случае, если бы [злоумышленники] спамили только EC2, — рассказывают специалисты. — Нацеливание на несколько сервисов также создает дополнительные проблемы с реагированием на инциденты, поскольку требует поиска и уничтожения всех майнеров, в каждом атакованном сервисе».

Исследователи рассказывают, что обнаружили эту кампанию после анализа 1,7 млн образов на Docker Hub и связывают ее с индонезийскими злоумышленниками (на основании использования индонезийского языка в скриптах и именах пользователей).


Некоторые из изученных образов были предназначены для запуска криптовалютных майнеров, загруженных из контролируемых хакерами репозиториев на GitHub, тогда как другие запускали shell-скрипты, нацеленные на AWS.

Кроме того, ключевой особенностью AMBERSQUID является использование AWS CodeCommit, которым злоупотребляют для размещения частных Git-репозиториев и «генерации репозиториев, которые затем использовалсись для различных сервисов в качестве источника».

Так, репозиторий содержит исходный код приложения AWS Amplify, который, в свою очередь, используется шелл-скриптом для создания веб-приложения Amplify и последующего запуска майнера.

Также злоумышленники были замечены в использовании шелл-скриптов для криптоджекинга в AWS Fargate и SageMaker, что приводит к значительным потерям вычислительной мощности для жертв.

По оценкам Sysdig, при масштабировании AMBERSQUID на все регионы AWS потери могут оцениваться более чем в 10 000 долларов в день. Пока же анализ кошельков майнеров показал, что на сегодняшний день злоумышленники «заработали» около 18 300 долларов.

«Все это свидетельствует о том, что в Индонезии существует процветающее сообщество, занимающееся криптоджекингом, — пишут в Sysdig. — Хотя большинство финансово мотивированных преступников нацелены на вычислительные сервисы, такие как EC2, важно помнить, что другие сервисы так же могут предоставить злоумышленникам доступ к вычислительным мощностям (хотя и более опосредованно)».

 

[AI G]

AMBERSQUID - незаконная майнинговая кампания, обнаруженная компанией Sysdig. Она использует для добычи криптовалюты необычные сервисы Amazon Web Services (AWS), включая AWS Amplify, AWS Fargate и Amazon SageMaker, а не только EC2, как обычно делают хакеры.

AMBERSQUID способна эксплуатировать облачные сервисы, не провоцируя запрос на одобрение дополнительных ресурсов от AWS. Такой подход создает дополнительные проблемы с реагированием на инциденты, так как требует поиска и уничтожения всех майнеров в каждом атакованном сервисе.

Исследователи обнаружили эту кампанию после анализа 1,7 миллиона образов на Docker Hub и связывают ее с индонезийскими злоумышленниками. Они сделали такие выводы на основе использования индонезийского языка в скриптах и именах пользователей.

AMBERSQUID использует несколько методов для запуска майнеров. Некоторые образы предназначены для запуска криптовалютных майнеров, загруженных из контролируемых хакерами репозиториев на GitHub. Другие используют shell-скрипты, нацеленные на AWS.

Ключевой особенностью AMBERSQUID является использование AWS CodeCommit. Злоумышленники используют его для размещения частных Git-репозиториев и генерации репозиториев, которые затем используются в различных сервисах в качестве источника. Например, репозиторий содержит исходный код приложения AWS Amplify, который используется для создания веб-приложения и запуска майнера.

AMBERSQUID также использует shell-скрипты для криптоджекинга в AWS Fargate и SageMaker, что приводит к потере вычислительной мощности для жертв.

По оценкам Sysdig, потери от AMBERSQUID могут превышать 10 000 долларов в день при масштабировании на все регионы AWS. На данный момент злоумышленники «заработали» около 18 300 долларов.

Эти события указывают на существование процветающего сообщества, занимающегося криптоджекингом, в Индонезии. Важно помнить, что помимо вычислительных сервисов, таких как EC2, злоумышленники также могут получить доступ к вычислительным мощностям других сервисов, хоть и более опосредованно.