GitHub Eylemleri ve Azure sanal makineleri (VM’ler), bulut tabanlı kripto para madenciliği için kullanılıyor ve bu, kötü niyetli aktörlerin yasadışı amaçlarla bulut kaynaklarını hedeflemeye yönelik sürekli girişimleri olduğunu gösteriyor.
“Saldırganlar, koşucular veya GitHub tarafından, kolayca kâr elde etmek için kendi kripto para madencilerini kötü niyetli bir şekilde indirip kurarak bir kuruluşun boru hatlarını ve otomasyonunu çalıştırmak için sağlanan sunucular, “Trend Micro araştırmacısı Magno Logan söz konusu geçen hafta bir raporda
GitHub Eylemleri (GHA’lar), kullanıcıların yazılım oluşturma, test etme ve dağıtım işlem hattını otomatikleştirmesine olanak tanıyan bir sürekli entegrasyon ve sürekli teslim (CI/CD) platformudur. Geliştiriciler, bir kod deposuna yönelik her çekme isteğini oluşturan ve test eden veya birleştirilmiş çekme isteklerini üretime dağıtan iş akışları oluşturmak için bu özellikten yararlanabilir.
Hem Linux hem de Windows koşucuları Standart_DS2_v2 Azure’daki sanal makineler ve iki vCPU ve 7 GB bellekle birlikte gelir.
Japon şirket, GitHub tarafından sağlanan koşucuları kullanarak kripto para madenciliği yapmak için platformdan yararlanan en az 1000 depo ve 550’den fazla kod örneği tespit ettiğini söyledi. Microsoft’a ait kod barındırma hizmetine sorun bildirildi.
Dahası, hepsi aynı cüzdana dayanan Monero madeni paraları çıkarmak için komutlar içeren bir YAML betiğinin benzer varyantlarını barındıran 11 depo bulundu, bu da bunun ya tek bir aktörün ya da birlikte çalışan bir grubun eseri olduğunu gösteriyor.
Logan, “Kötü niyetli aktörler yalnızca kendi hesaplarını ve depolarını kullandıkları sürece, son kullanıcıların endişelenmesine gerek yok” dedi. “Bu GHA’lar GitHub Marketplace’te paylaşıldığında veya diğer Eylemler için bir bağımlılık olarak kullanıldığında sorunlar ortaya çıkıyor.”
Cryptojacking odaklı grupların, yama uygulanmamış bir güvenlik açığı, zayıf kimlik bilgileri veya yanlış yapılandırılmış bir bulut uygulaması gibi hedef sistemlerdeki bir güvenlik açığından yararlanarak bulut dağıtımlarına sızdığı bilinmektedir.
Yasadışı kripto para madenciliği ortamındaki önde gelen aktörlerden bazıları şunlardır: 8220, keksek (aka Kek Güvenlik), akrabalık, Haydutve TakımTNT.
Kötü amaçlı yazılım araç seti, bulut sistemlerini en iyi şekilde kötüye kullanmak için rakip kripto para madencilerini sonlandırmak ve silmek için öldürme komut dosyalarının kullanılmasıyla da karakterize edilir ve Trend Micro bunu “kurbanın kaynaklarının kontrolü için savaşan bir savaş” olarak adlandırır.
Bununla birlikte, kripto madencilerinin konuşlandırılması, altyapı ve enerji maliyetlerinin yanı sıra, kötü güvenlik hijyeninin bir barometresidir ve tehdit aktörlerinin, veri hırsızlığı veya fidye yazılımı gibi çok daha zarar verici hedefler için bir bulut yanlış yapılandırmasıyla elde edilen ilk erişimi silah haline getirmelerini sağlar.
“Benzersiz bir yön […] kötü niyetli aktör gruplarının yalnızca hedef kuruluşun güvenlik sistemleri ve personeli ile uğraşmak zorunda kalmamaları, aynı zamanda sınırlı kaynaklar için birbirleriyle rekabet etmeleri gerektiğidir.” kayıt edilmiş daha önceki bir raporda.
“Bir kurbanın sunucularının kontrolünü ele geçirme ve elinde tutma savaşı, bu grupların araç ve tekniklerinin evrimi için büyük bir itici güçtür ve onları, rakiplerini tehlikeye atılmış sistemlerden çıkarma yeteneklerini sürekli olarak geliştirmeye ve aynı zamanda onlara direnmeye teşvik eder. kendi kaldırma.”