Nova operação de Criptojacking da AMBERSQUID mira em serviços incomuns da AWS

nova-operacao-de-criptojacking-da-ambersquid-mira-em-servicos-incomuns-da-aws

Uma nova operação de criptojacking nativa da nuvem tem como alvo ofertas incomuns da Amazon Web Services (AWS). Entre os serviços alvos dessa operação estão: AWS Amplify, AWS Fargate e Amazon SageMaker. Os golpistas estão utilizando esses serviços para minerar criptomoedas ilicitamente.

Operação de Criptojacking da AMBERSQUID tem como alvos serviços incomuns da AWS

A atividade cibernética maliciosa recebeu o codinome AMBERSQUID pela empresa de segurança de nuvem e contêiner Sysdig. De acordo com o pesquisador de segurança da Sysdig, Alessandro Brucato, em um relatório compartilhado com o The Hacker News, “a operação AMBERSQUID foi capaz de explorar serviços em nuvem sem acionar o requisito da AWS para aprovação de mais recursos, como seria o caso se eles apenas enviassem spam para instâncias EC2”.

Almejar múltiplos serviços também apresenta desafios adicionais, como resposta a incidentes, uma vez que requer encontrar e matar todos os mineradores em cada serviço explorado.

A Sysdig disse que descobriu a campanha após uma análise de 1,7 milhão de imagens no Docker Hub, atribuindo-a com confiança moderada a invasores indonésios com base no uso da língua indonésia em scripts e nomes de usuário.

Imagem: TheHackerNews

Algumas dessas imagens são projetadas para executar mineradores de criptomoedas baixados de repositórios GitHub controlados por atores, enquanto outras executam scripts de shell direcionados à AWS. Uma característica chave é o abuso do AWS CodeCommit, que é usado para hospedar repositórios Git privados, para “gerar um repositório privado que eles então usam em diferentes serviços como fonte”.

Operação de Criptojacking

O repositório contém o código-fonte de um aplicativo AWS Amplify que, por sua vez, é aproveitado por um script de shell para criar um aplicativo Web Amplify e, por fim, iniciar o minerador de criptomoedas. Além disso, os cibercriminosos também foram observados empregando scripts de shell para realizar cryptojacking em instâncias AWS Fargate e SageMaker, incorrendo em custos computacionais significativos para as vítimas.

A Sysdig estimou que o AMBERSQUID poderia resultar em perdas de mais de US$ 10.000 (cerca de R$ 48,5 mil) por dia se fosse dimensionado para atingir todas as regiões da AWS. Uma análise mais aprofundada dos endereços de carteira usados ??revela que os invasores obtiveram mais de US$ 18.300 (cerca de R$ 88,7 mil) em receitas até o momento.

Esta não é a primeira vez que agentes de ameaças indonésios são associados a campanhas de criptojacking. Em maio de 2023, o Permiso P0 Labs detalhou um ator chamado GUI-vil que foi detectado aproveitando instâncias Elastic Compute Cloud (EC2) da Amazon Web Services (AWS) para realizar operações de mineração de criptografia.

Via: TheHackerNews
Acesse a versão completa
Sair da versão mobile