Cryptojacking, bir saldırganın kurbanın bilgisayarını veya cihazını kurbanın bilgisi veya onayı olmadan Bitcoin veya Monero gibi kripto para birimlerini çıkarmak için gizlice kullandığı kötü niyetli bir siber saldırıdır.
Bu genellikle kurbanın bilgisayarına, kurbanın işlem gücünü ve kaynaklarını kullanarak madencilik yapan kötü amaçlı yazılımların bulaştırılmasını gerektirir.
Sysdig Tehdit Araştırma Ekibi’ndeki (TRT) güvenlik uzmanları kısa süre önce AWS hizmetlerinden yararlanan “AMBERSQUID” adlı yeni bir bulut tabanlı cryptojacking saldırısını ortaya çıkardı.
Yeni Cryptojacking Saldırısı
AMBERSQUID operasyonunda gözden kaçırılan hizmetler mağdurlara günde 10.000 dolardan fazlaya mal olabilir. AMBERSQUID, bulut hizmetlerinden AWS kaynak onayı olmadan yararlanıyor ve birden fazla hizmeti hedefleyerek olaya müdahaleyi karmaşık hale getiriyor.
AMBERSQUID, 1,7 milyon Linux Docker görüntüsünün analiz edilmesiyle bulundu ve gizli kötü amaçlı yükleri ortaya çıkardı.
Docker Hub’daki ilk konteyner daha geniş bir araştırmaya yol açtı ve bu analizde AWS’ye özgü hizmetlere geçmeden önce başlangıçta temel kripto madenci konteynerlerini kullanan hesaplar ortaya çıkarıldı.
Aşağıda tüm aktif Docker Hub hesaplarından bahsettik: –
- https://hub.docker.com/u/delbidaluan
- https://hub.docker.com/u/tegarhuta
- https://hub.docker.com/u/rizal91
- https://hub.docker.com/u/krisyantii20
- https://hub.docker.com/u/avriliahasanah
- https://hub.docker.com/u/buenosjiji662
- https://hub.docker.com/u/buenosjiji
- https://hub.docker.com/u/dellaagustin582
- https://hub.docker.com/u/jotishoop
- https://hub.docker.com/u/krisyantii20
- https://hub.docker.com/u/nainasachie
- https://hub.docker.com/u/rahmadabdu0
- https://hub.docker.com/u/robinrobby754
Delbidaluan/epicx’in derinlemesine incelenmesi, saldırganın Amplify uygulama kaynak kodunu ve madencilik komut dosyalarını barındıran ve kaçırmak için birden fazla kod sürümünü kullanan GitHub hesabını ortaya çıkarıyor.
Delbidaluan/epic kapsayıcısı, aynı formatta farklı komut dosyalarını çalıştıran çeşitli görüntülerle birlikte, ENTRYPOINT olarak entrypoint.sh’yi kullanır.
Amplify-role.sh adlı ilk komut dosyası, saldırganın AWS Amplify ve diğer hizmetlere izin vermek için kullandığı ‘AWSCodeCommit-Role’ rolünü oluşturur.
Çeşitli saldırı türleri ve bunların nasıl önleneceği hakkında bilgi edinmek için Canlı DDoS Web Sitesi ve API Saldırı Simülasyonu web seminerine katılın.
Şimdi Katıl
AWS Hizmetleri Suistimal Edildi
Aşağıda, istismar edilen tüm AWS hizmetlerinden bahsettik: –
- AWS’yi Güçlendirin
- Amazon ECS
- AWS CodeBuild
- AWS CloudFormasyonu
- Amazon EC2 Otomatik Ölçeklendirme
- Amazon SageMaker
Kullanılan Cüzdanlar
Aşağıda, kullanılan tüm cüzdanlardan bahsettik: –
- Zefir
- Tidecoin
- Doğru
- Monero
- QRL
- Bambu
Mağdura Maliyeti
Aşağıdaki tabloda mağdurun maruz kaldığı maliyetlerden bahsediliyordu: –
AWS gibi CSP’ler, EC2’nin ötesinde, sınırlı görünürlük nedeniyle genellikle gözden kaçırılan çeşitli hizmetler sunar, ancak aynı zamanda bilgi işlem kaynaklarına erişim de sağlarlar.
Tüm CSP hizmetlerini kötüye kullanıma karşı izleyin, gerekirse daha yüksek düzeyde kullanım günlüğü tutun ve AMBERSQUID gibi tehditleri tespit etmek ve kontrol altına almak için hızlı bir şekilde yanıt verin.
Şu anda bu tehdit yalnızca AWS’yi hedef alıyor ancak aynı zamanda diğer CSP’lere yönelik risklerin de altını çiziyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.