Una novedosa operación de cryptojacking nativa de la nube ha puesto sus ojos en ofertas poco comunes de Amazon Web Services (AWS), como AWS Amplify, AWS Fargate y Amazon SageMaker, para extraer criptomonedas de forma ilícita.
La actividad cibernética maliciosa ha recibido el nombre en clave AMBERSQUID por la empresa de seguridad de contenedores y nube Sysdig.
«La operación AMBERSQUID pudo explotar los servicios en la nube sin activar el requisito de AWS para la aprobación de más recursos, como sería el caso si solo enviaran spam a instancias EC2», dijo el investigador de seguridad de Sysdig, Alessandro Brucato, en un informe compartido con The Hacker News.
«Apuntar a múltiples servicios también plantea desafíos adicionales, como la respuesta a incidentes, ya que requiere encontrar y eliminar a todos los mineros en cada servicio explotado».
Sysdig dijo que descubrió la campaña luego de una análisis de 1,7 millones de imágenes en Docker Hub, atribuyéndolo con confianza moderada a atacantes indonesios basándose en el uso del idioma indonesio en scripts y nombres de usuario.
Algunas de estas imágenes están diseñadas para ejecutar mineros de criptomonedas descargados de repositorios de GitHub controlados por actores, mientras que otras ejecutan scripts de shell dirigidos a AWS.
Una característica clave es el abuso de AWS CodeCommit, que se utiliza para alojar repositorios privados de Git, para «generar un repositorio privado que luego utilizan en diferentes servicios como fuente».
El repositorio contiene el código fuente de una aplicación AWS Amplify que, a su vez, se aprovecha mediante un script de shell para crear una aplicación web Amplify y, en última instancia, iniciar el minero de criptomonedas.
También se ha observado que los actores de amenazas emplean scripts de shell para realizar cryptojacking en instancias de AWS Fargate y SageMaker, lo que genera importantes costos informáticos para las víctimas.
Sysdig estimó que AMBERSQUID podría generar pérdidas de más de $10,000 por día si se escala al objetivo todas las regiones de AWS. Un análisis más detallado de las direcciones de billetera utilizadas revela que los atacantes han obtenido más de $18,300 en ingresos hasta la fecha.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
Esta no es la primera vez que se vincula a actores de amenazas indonesios con campañas de criptojacking. En mayo de 2023, Permiso P0 Labs detalló un actor llamado GUI-vil que fue descubierto aprovechando instancias de Elastic Compute Cloud (EC2) de Amazon Web Services (AWS) para llevar a cabo operaciones de criptominería.
«Si bien la mayoría de los atacantes con motivaciones financieras apuntan a servicios informáticos, como EC2, es importante recordar que muchos otros servicios también brindan acceso a recursos informáticos (aunque de manera más indirecta)», dijo Brucato.
«Es fácil pasar por alto estos servicios desde una perspectiva de seguridad, ya que hay menos visibilidad en comparación con la disponible a través de la detección de amenazas en tiempo de ejecución».