AMBERSQUID 云原生挖矿恶意软件疑似与印尼黑客有关
💡
原文中文,约19300字,阅读约需46分钟。
📝
内容提要
该文介绍了攻击者如何利用AWS Amplify、AWS Fargate和Amazon SageMaker等不太常用的AWS服务进行云原生挖矿攻击。攻击者使用Docker Hub存储库下载挖矿程序,并将其导入到Docker镜像中,攻击更加隐蔽。
🎯
关键要点
- Sysdig 研究人员发现了一种新的云原生挖矿攻击,命名为 AMBERSQUID,针对不常用的 AWS 服务。
- AMBERSQUID 攻击可能导致受害者每天损失超过 1 万美元,且攻击不会触发 AWS 资源申请请求。
- 研究人员通过分析超过 170 万个 Linux 镜像发现了 AMBERSQUID 恶意软件,静态扫描无法检测到。
- 攻击者使用 Docker Hub 下载挖矿程序并导入 Docker 镜像,操作更加隐蔽。
- 攻击者创建多个账户推送带有挖矿程序的镜像,使用 GitHub 存储库存储源代码和挖矿脚本。
- 攻击者利用 AWS CodeCommit、CloudWatch 和 Amplify 创建角色并赋予完全访问权限。
- AWS Amplify 被攻击者用于创建和部署挖矿程序,攻击者通过 Amplify Hosting 进行部署。
- 攻击者利用 AWS ECS 和 Fargate 创建容器进行挖矿,配置任务和服务以运行挖矿程序。
- AWS CodeBuild 被用于持续集成,攻击者在构建过程中运行挖矿程序。
- 攻击者利用 AWS CloudFormation 创建多个堆栈,运行挖矿程序的命令。
- AWS EC2 Auto Scaling 被用于弹性处理计算容量,攻击者创建启动模板以运行挖矿程序。
- AWS SageMaker 被攻击者用于构建和训练机器学习模型,同时运行挖矿程序。
- 攻击者的挖矿活动可能导致受害者面临巨大的经济损失,攻击者的加密货币钱包地址显示出可观的收益。
- 云服务提供商的多种服务可能被攻击者利用,安全性较低的服务容易被忽视。
➡️
