Alibaba ECS-forekomster målrettet i ny kryptojacking-kampagne

ETFFIN >> Privatøkonomi > >> Kryptovaluta >> Blockchain

Shutterstock

Hackere er blevet fundet angribende Alibaba Cloud Elastic Computing Service (ECS) for at mine Monero kryptovaluta i en ny kryptojacking-kampagne.

Sikkerhedsforskere hos Trend Micro opdagede, at cyberkriminelle deaktiverede sikkerhedsfunktioner i cloud-forekomster, så de kunne mine efter kryptovaluta.

ECS-forekomster kommer med en forudinstalleret sikkerhedsagent, som hackere forsøger at afinstallere ved kompromittering. Forskere sagde, at specifik kode i malware skabte firewall-regler for at droppe indgående pakker fra IP-områder, der tilhører interne Alibaba-zoner og -regioner.

Disse standard Alibaba ECS-instanser giver også root-adgang. Problemet her er, at disse tilfælde mangler de forskellige privilegieniveauer, der findes i andre cloud-udbydere. Dette betyder, at hackere, der får login-legitimationsoplysninger for at få adgang til en målforekomst, kan gøre det via SSH uden at montere en eskalering af privilegieangreb på forhånd.

"I denne situation har trusselsaktøren det højest mulige privilegium ved kompromittering, herunder udnyttelse af sårbarhed, ethvert fejlkonfigurationsproblem, svage legitimationsoplysninger eller datalækage," sagde forskere.

Dette gør det muligt at implementere avancerede nyttelaster, såsom rootkits til kernemoduler og opnåelse af persistens via kørende systemtjenester. "Med denne funktion kommer det ikke som nogen overraskelse, at flere trusselsaktører målretter mod Alibaba Cloud ECS blot ved at indsætte et kodestykke til at fjerne software, der kun findes i Alibaba ECS," tilføjede de.

Forskere sagde, at når cryptojacking malware kører inde i Alibaba ECS, vil den installerede sikkerhedsagent sende en meddelelse om et ondsindet script, der kører. Det er derefter op til brugeren at forhindre igangværende infektion og ondsindede aktiviteter. Forskere sagde, at det altid er brugerens ansvar at forhindre denne infektion i at ske i første omgang.

"På trods af detektion formår sikkerhedsagenten ikke at rense det kørende kompromis og bliver deaktiveret," tilføjede de. "Når du ser på en anden malware-eksempel, viser det, at sikkerhedsagenten også blev afinstalleret, før den kunne udløse en advarsel om kompromittering."

Når den først er kompromitteret, installerer malwaren en XMRig til at mine til Monero.

Forskere sagde, at det var vigtigt at bemærke, at Alibaba ECS har en automatisk skaleringsfunktion til automatisk at justere computerressourcer baseret på mængden af brugeranmodninger. Dette betyder, at hackere også kan opskalere kryptominering og med brugerne, der bærer omkostningerne.

"På det tidspunkt, hvor faktureringen ankommer til den uvidende organisation eller bruger, har kryptomineren sandsynligvis allerede pådraget sig yderligere omkostninger. Derudover skal de legitime abonnenter manuelt fjerne infektionen for at rense infrastrukturen for kompromiset,” advarede forskere.

Cryptomixers hjælper hackere med at hvidvaske ransomware-betalinger FBI-hacker sælger Robinhood-kundedata på hackingforum

8 trin til at udvikle et nyt produkt

Skal jeg købe en ny bil eller brugt bil?

Økonomiske nytårsforsætter

Er faktorinvestering den nye værdiinvestering?

Blockchain