Kopanie krypto pod przykrywką błędu 404 i platform chmurowych
Specjaliści ds. bezpieczeństwa z firmy Wiz ujawnili dwie nowe kampanie cyberprzestępcze, które wykorzystują techniki ukrywania złośliwego oprogramowania służącego do kopania kryptowalut. Obie kampanie bazują na wykorzystywaniu słabo zabezpieczonych środowisk, w tym popularnych narzędzi developerskich oraz platform chmurowych.
Pierwsza z kampanii została nazwana przez zespół Soco404, ze względu na sposób działania hakerów. Cyberprzestępcy podszywają się pod fałszywe strony internetowe zwracające błąd 404. Te w rzeczywistości służą do ukrywania złośliwego kodu.
Po odwiedzeniu takiej strony, zamiast zwykłego komunikatu - na komputerze ofiary zostaje uruchomiony skrypt. Wykorzystuje on zasoby procesora lub karty graficznej do nieautoryzowanego kopania kryptowalut.
Autor. “google 404” by osde8info, CC BY-SA 2.0
Kampania jest wieloplatformowa i wykorzystuje m.in. niezabezpieczone serwery Selenium Grid, popularnego narzędzia automatyzacji testów aplikacji internetowych. Brak odpowiedniego uwierzytelnienia pozwala przestępcom zdalnie wykonywać polecenia i instalować koparki kryptowalut, takie jak XMRig.
Ważnym elementem kampanii jest także proxyjacking, czyli ukrywanie faktycznego źródła kopania poprzez wykorzystanie zainfekowanych urządzeń jako pośredników. Specjaliści zalecają przede wszystkim zabezpieczenie narzędzi developerskich, ograniczenie dostępu do serwerów Selenium Grid oraz monitorowanie nietypowego zużycia zasobów sprzętowych, które może wskazywać na działalność złośliwego oprogramowania.
Czytaj też
Środowiska chmurowe narażone
Druga kampania dotyczy wykorzystania środowisk chmurowych i narzędzi DevOps do wydawania im zadań kopania kryptowalut. Złośliwe oprogramowanie jest uruchamiane w chmurze - najczęściej dotyczy to nieodpowiednio zabezpieczonych kontenerów Docker, klastrów Nomad czy platform takich jak Consul i Gitea.
Grupa odpowiedzialna za ataki, nazwana JINX-0132, tworzy automatycznie zadania i kontenery uruchamiające koparkę XMRig. Ataki wykorzystują znane podatności, np. w Gitea (CVE-2020-14144) czy otwarty interfejs Docker API bez zabezpieczeń. Skutkiem jest pełne przejęcie kontroli nad infrastrukturą chmurową i wykorzystanie jej do nieautoryzowanego wydobycia kryptowalut, co generuje znaczne koszty dla ofiar.
Obie kampanie pokazują, że cyberprzestępcy coraz częściej wykorzystują legalne i powszechnie stosowane narzędzia oraz usługi jako przykrywkę dla swoich działań.
Czytaj też
Eksperci rekomendują
W odpowiedzi na prowadzone kampanie kopania kryptowalut eksperci zalecjają:
- Włączanie i prawidłową konfigurację mechanizmów kontroli dostępu (ACL) w narzędziach takich jak Nomad, Consul czy Docker.
- Unikanie wystawiania w sieci interfejsów API bez zabezpieczeń.
- Regularne aktualizowanie oprogramowania, w tym platform takich jak Gitea.
- Ograniczanie możliwości wykonywania nieautoryzowanych skryptów i monitorowanie niecodziennej aktywności w środowiskach chmurowych.
- Segmentowanie sieci i kontrolę dostępu, aby minimalizować ryzyko nieautoryzowanego dostępu.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
WYCIEKI DANYCH z firm. JAK ZAPOBIEGAĆ wynoszeniu danych przez pracowników?
Materiał sponsorowany