Une nouvelle opération de cryptojacking cloud native a jeté son dévolu sur des offres inhabituelles d’Amazon Web Services (AWS), telles qu’AWS Amplify, AWS Fargate et Amazon SageMaker, pour exploiter illégalement des cryptomonnaies.
La cyberactivité malveillante porte un nom de code AMBERSQUIDE par la société de sécurité du cloud et des conteneurs Sysdig.
« L’opération AMBERSQUID a pu exploiter les services cloud sans déclencher l’exigence AWS d’approbation de davantage de ressources, comme ce serait le cas s’ils spammaient uniquement les instances EC2 », a déclaré Alessandro Brucato, chercheur en sécurité chez Sysdig. rapport partagé avec The Hacker News.
« Cibler plusieurs services pose également des défis supplémentaires, comme la réponse aux incidents, car cela nécessite de trouver et de tuer tous les mineurs de chaque service exploité. »
Sysdig a déclaré avoir découvert la campagne suite à une analyse de 1,7 million d’images sur Docker Hub, l’attribuant avec une confiance modérée aux attaquants indonésiens sur la base de l’utilisation de la langue indonésienne dans les scripts et les noms d’utilisateur.
Certaines de ces images sont conçues pour exécuter des mineurs de cryptomonnaie téléchargés à partir de référentiels GitHub contrôlés par des acteurs, tandis que d’autres exécutent des scripts shell ciblant AWS.
Une caractéristique clé est l’abus d’AWS CodeCommit, qui est utilisé pour héberger des référentiels Git privés, pour « générer un référentiel privé qu’ils utilisent ensuite dans différents services comme source ».
Le référentiel contient le code source d’une application AWS Amplify qui, à son tour, est exploité par un script shell pour créer une application Web Amplify et finalement lancer le mineur de crypto-monnaie.
Les auteurs de la menace ont également été observés en train d’utiliser des scripts shell pour effectuer du cryptojacking dans les instances AWS Fargate et SageMaker, ce qui entraîne des coûts de calcul importants pour les victimes.
Sysdig estime qu’AMBERSQUID pourrait entraîner des pertes de plus de 10 000 dollars par jour s’il était adapté à son objectif. toutes les régions AWS. Une analyse plus approfondie des adresses de portefeuille utilisées révèle que les attaquants ont gagné à ce jour plus de 18 300 $ de revenus.
L’identité est le nouveau point de terminaison : maîtriser la sécurité SaaS à l’ère moderne
Plongez dans l’avenir de la sécurité SaaS avec Maor Bin, PDG d’Adaptive Shield. Découvrez pourquoi l’identité est le nouveau point final. Réservez votre place maintenant.
Ce n’est pas la première fois que des acteurs indonésiens de la menace sont associés à des campagnes de cryptojacking. En mai 2023, Permiso P0 Labs a détaillé un acteur nommé GUI-vil qui a été repéré en train d’exploiter les instances Elastic Compute Cloud (EC2) d’Amazon Web Services (AWS) pour effectuer des opérations de crypto mining.
« Même si la plupart des attaquants motivés par des raisons financières ciblent les services de calcul, tels que EC2, il est important de garder à l’esprit que de nombreux autres services donnent également accès aux ressources de calcul (bien que de manière plus indirecte) », a déclaré Brucato.
« Il est facile pour ces services d’être négligés du point de vue de la sécurité, car la visibilité est moindre par rapport à celle disponible via la détection des menaces à l’exécution. »