Alibaba ECS-instanties getarget in nieuwe cryptojacking-campagne

ETFFIN >> Persoonlijke financiën > >> cryptogeld >> Blockchain

Shutterstock

Er zijn hackers gevonden die Alibaba Cloud Elastic Computing Service (ECS)-instanties aanvallen om Monero-cryptocurrency te minen in een nieuwe cryptojacking-campagne.

Beveiligingsonderzoekers van Trend Micro ontdekten dat cybercriminelen beveiligingsfuncties in cloudinstanties uitschakelden, zodat ze cryptovaluta konden delven.

ECS-instanties worden geleverd met een vooraf geïnstalleerde beveiligingsagent die hackers proberen te verwijderen bij compromis. Onderzoekers zeiden dat specifieke code in de malware firewallregels creëerde om inkomende pakketten te verwijderen van IP-bereiken die behoren tot interne Alibaba-zones en -regio's.

Deze standaard Alibaba ECS-instanties bieden ook root-toegang. Het probleem hier is dat deze instanties niet de verschillende privilegeniveaus hebben die bij andere cloudproviders worden gevonden. Dit betekent dat hackers die inloggegevens verkrijgen om toegang te krijgen tot een doelinstantie, dit via SSH kunnen doen zonder vooraf een escalatie van privilege-aanvallen te veroorzaken.

"In deze situatie heeft de dreigingsactor het hoogst mogelijke privilege bij compromis, inclusief misbruik van kwetsbaarheden, elk probleem met de verkeerde configuratie, zwakke referenties of gegevenslekken", aldus onderzoekers.

Hierdoor kunnen geavanceerde payloads worden geïmplementeerd, zoals rootkits van kernelmodules en het bereiken van persistentie via actieve systeemservices. "Gezien deze functie is het geen verrassing dat meerdere bedreigingsactoren zich richten op Alibaba Cloud ECS door simpelweg een codefragment in te voegen voor het verwijderen van software die alleen in Alibaba ECS te vinden is", voegde ze eraan toe.

Onderzoekers zeiden dat wanneer cryptojacking-malware wordt uitgevoerd in Alibaba ECS, de geïnstalleerde beveiligingsagent een melding stuurt dat er een kwaadaardig script wordt uitgevoerd. Het is dan aan de gebruiker om voortdurende infectie en kwaadaardige activiteiten te voorkomen. Onderzoekers zeiden dat het altijd de verantwoordelijkheid van de gebruiker is om te voorkomen dat deze infectie in de eerste plaats plaatsvindt.

"Ondanks detectie slaagt de beveiligingsagent er niet in om het lopende compromis op te schonen en wordt uitgeschakeld", voegde ze eraan toe. "Als we naar een ander malwarevoorbeeld kijken, zien we dat de beveiligingsagent ook is verwijderd voordat deze een waarschuwing voor compromittering kon activeren."

Eenmaal gecompromitteerd, installeert de malware een XMRig om te minen voor Monero.

Onderzoekers zeiden dat het belangrijk was op te merken dat Alibaba ECS een functie voor automatisch schalen heeft om computerbronnen automatisch aan te passen op basis van het aantal gebruikersverzoeken. Dit betekent dat hackers cryptomining ook kunnen opschalen en waarbij gebruikers de kosten dragen.

“Tegen de tijd dat de facturering bij de onwetende organisatie of gebruiker aankomt, heeft de cryptominer waarschijnlijk al extra kosten gemaakt. Bovendien moeten de legitieme abonnees de infectie handmatig verwijderen om de infrastructuur van het compromis op te schonen”, waarschuwden onderzoekers.

Cryptomixers helpen hackers ransomware-betalingen wit te wassen FBI-hacker verkoopt Robinhood-klantgegevens op hackforum