Các trường hợp Alibaba ECS được nhắm mục tiêu trong chiến dịch cryptojacking mới

Shutterstock

Các tin tặc đã bị phát hiện tấn công các phiên bản Dịch vụ Máy tính Đàn hồi Đám mây của Alibaba (ECS) để khai thác tiền điện tử Monero trong một chiến dịch tấn công tiền điện tử mới.

Các nhà nghiên cứu bảo mật tại Trend Micro đã phát hiện ra tội phạm mạng vô hiệu hóa các tính năng bảo mật trong các phiên bản đám mây để chúng có thể khai thác tiền điện tử.

Các phiên bản ECS đi kèm với một tác nhân bảo mật được cài đặt sẵn mà tin tặc cố gắng gỡ cài đặt nó khi bị xâm phạm. Các nhà nghiên cứu cho biết mã cụ thể trong phần mềm độc hại đã tạo ra các quy tắc tường lửa để loại bỏ các gói đến từ các dải IP thuộc các khu vực và khu vực nội bộ của Alibaba.

Các phiên bản Alibaba ECS mặc định này cũng cung cấp quyền truy cập root. Vấn đề ở đây là những trường hợp này thiếu các mức đặc quyền khác nhau được tìm thấy trong các nhà cung cấp dịch vụ đám mây khác. Điều này có nghĩa là những tin tặc có được thông tin đăng nhập để truy cập vào một phiên bản mục tiêu có thể thực hiện điều này thông qua SSH mà không cần tăng cường tấn công đặc quyền trước đó.

Các nhà nghiên cứu cho biết:“Trong tình huống này, tác nhân đe dọa có đặc quyền cao nhất có thể khi bị xâm phạm, bao gồm khai thác lỗ hổng bảo mật, bất kỳ vấn đề cấu hình sai nào, thông tin đăng nhập yếu hoặc rò rỉ dữ liệu.

Điều này cho phép các tải trọng nâng cao, chẳng hạn như rootkit mô-đun hạt nhân và đạt được sự bền bỉ thông qua các dịch vụ hệ thống đang chạy được triển khai. “Với tính năng này, không có gì ngạc nhiên khi nhiều kẻ đe dọa nhắm mục tiêu đến Alibaba Cloud ECS chỉ bằng cách chèn một đoạn mã để xóa phần mềm chỉ có trong Alibaba ECS,” họ nói thêm.

Các nhà nghiên cứu cho biết khi phần mềm độc hại cryptojacking đang chạy bên trong Alibaba ECS, tác nhân bảo mật được cài đặt sẽ gửi thông báo về một tập lệnh độc hại đang chạy. Sau đó, người dùng có quyền ngăn chặn sự lây nhiễm đang diễn ra và các hoạt động độc hại. Các nhà nghiên cứu cho biết người dùng luôn có trách nhiệm ngăn chặn sự lây nhiễm này xảy ra ngay từ đầu.

Họ nói thêm:“Mặc dù bị phát hiện, nhân viên bảo mật không thể xóa được thỏa hiệp đang chạy và bị vô hiệu hóa. “Xem xét một mẫu phần mềm độc hại khác cho thấy rằng tác nhân bảo mật cũng đã được gỡ cài đặt trước khi nó có thể kích hoạt cảnh báo về sự xâm phạm.”

Sau khi bị xâm nhập, phần mềm độc hại sẽ cài đặt một XMRig để khai thác Monero.

Các nhà nghiên cứu cho biết điều quan trọng cần lưu ý là Alibaba ECS có tính năng tự động mở rộng quy mô để tự động điều chỉnh tài nguyên máy tính dựa trên khối lượng yêu cầu của người dùng. Điều này có nghĩa là tin tặc cũng có thể mở rộng quy mô đào tiền mã hóa và người dùng phải chịu chi phí.

“Vào thời điểm thanh toán đến tay tổ chức hoặc người dùng không chủ ý, người đào tiền mã hóa có khả năng đã phát sinh thêm chi phí. Ngoài ra, những người đăng ký hợp pháp phải xóa thủ công sự lây nhiễm để làm sạch cơ sở hạ tầng của sự xâm phạm, ”các nhà nghiên cứu cảnh báo.


Chuỗi khối
  1. Chuỗi khối
  2.   
  3. Bitcoin
  4.   
  5. Ethereum
  6.   
  7. Trao đổi tiền tệ kỹ thuật số
  8.   
  9. Khai thác mỏ