Търсене
Close this search box.

AMBERSQUID е насочена към необичайни услуги на AWS

Нова операция за криптокражба в облака е насочила погледа си към необичайни предложения на Amazon Web Services (AWS) като AWS Amplify, AWS Fargate и Amazon SageMaker, за да добива незаконно криптовалута.

Зловредната кибердейност е получила кодовото име AMBERSQUID от фирмата за сигурност на облаци и контейнери Sysdig.

„Операцията на AMBERSQUID е успяла да експлоатира облачните услуги, без да задейства изискването на AWS за одобрение на повече ресурси, както би било, ако само спамваха EC2 инстанции“, заяви изследователят по сигурността на Sysdig Алесандро Брукато в доклад, споделен с The Hacker News.

„Насочването към множество услуги също така поставя допълнителни предизвикателства, като например реагирането на инциденти, тъй като изисква намирането и убиването на всички миньори във всяка експлоатирана услуга.“
Sysdig заяви, че е открил кампанията след анализ на 1,7 милиона изображения в Docker Hub, като я приписва с умерена увереност на индонезийски нападатели въз основа на използването на индонезийски език в скриптовете и потребителските имена.

Някои от тези имиджи са разработени така, че да изпълняват миньори за криптовалута, изтеглени от контролирани от хакерите хранилища в GitHub, докато други изпълняват шел скриптове, насочени към AWS.

Ключова характеристика е злоупотребата с AWS CodeCommit, който се използва за хостване на частни Git хранилища, за „генериране на частно хранилище, което след това те използват в различни услуги като източник“.

Хранилището съдържа изходния код на приложението AWS Amplify, което на свой ред се използва от шел скрипт за създаване на уеб приложение Amplify и в крайна сметка за стартиране на миньор за криптовалута.

Заплашващите лица също така са наблюдавани да използват шел скриптове за извършване на криптодобив в инстанциите AWS Fargate и SageMaker, което води до значителни изчислителни разходи за жертвите.

Sysdig изчислява, че AMBERSQUID може да доведе до загуби от над 10 000 долара на ден, ако бъде мащабиран да атакува всички региони на AWS. По-нататъшен анализ на използваните адреси на портфейли разкрива, че до момента нападателите са спечелили приходи от над 18 300 USD.

Това не е първият път, когато индонезийски бандити са свързани с кампании за криптоджакинг. През май 2023 г. Permiso P0 Labs подробно описа извършител на име GUI-vil, който беше забелязан да използва инстанции на Amazon Web Services (AWS) Elastic Compute Cloud (EC2), за да извършва операции по добив на криптовалути.

„Въпреки че повечето финансово мотивирани атакуващи се насочват към изчислителни услуги, като EC2, важно е да се помни, че много други услуги също предоставят достъп до изчислителни ресурси (макар и по-непряко)“, каза Брукато.

„Лесно е тези услуги да бъдат пренебрегнати от гледна точка на сигурността, тъй като има по-малка видимост в сравнение с тази, която е налична чрез откриване на заплахи по време на изпълнение.“

Източник: The Hacker News

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
27/05/2024

Войната за чиповете

Производителят на машини за чипове ASML...
20/05/2024

Китайци са арестувани за пр...

Министерството на правосъдието на САЩ повдигна...
13/05/2024

Уменията в областта на насл...

  От COBOL до Pascal и...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!