Shutterstock

Были обнаружены хакеры, атакующие экземпляры Alibaba Cloud Elastic Computing Service (ECS) для добычи криптовалюты Monero в рамках новой кампании криптоджекинга.

Исследователи в области безопасности в компании Trend Micro обнаружили киберпреступников, отключивших функции безопасности в облачных экземплярах, чтобы они могли добывать криптовалюту.

Экземпляры ECS поставляются с предустановленным агентом безопасности, который хакеры пытаются удалить в случае компрометации. Исследователи заявили, что определенный код вредоносной программы создает правила брандмауэра для отбрасывания входящих пакетов из диапазонов IP-адресов, принадлежащих внутренним зонам и регионам Alibaba.

Эти инстансы Alibaba ECS по умолчанию также предоставляют root-доступ. Проблема здесь в том, что этим экземплярам не хватает различных уровней привилегий, которые есть у других облачных провайдеров. Это означает, что хакеры, получившие учетные данные для доступа к целевому экземпляру, могут сделать это через SSH без предварительной атаки на повышение привилегий.

«В этой ситуации злоумышленник имеет наивысшие возможные привилегии при компрометации, включая использование уязвимостей, любую проблему неправильной конфигурации, слабые учетные данные или утечку данных», - заявили исследователи.

Это позволяет развертывать расширенные полезные данные, такие как руткиты модулей ядра и достижение устойчивости с помощью запущенных системных служб. «Учитывая эту функцию, неудивительно, что несколько злоумышленников нацелены на Alibaba Cloud ECS, просто вставив фрагмент кода для удаления программного обеспечения, которое есть только в Alibaba ECS», - добавили они.

Исследователи заявили, что при запуске вредоносного ПО для криптоджекинга внутри Alibaba ECS установленный агент безопасности отправляет уведомление о запуске вредоносного сценария. Затем пользователь должен предотвратить продолжающееся заражение и злонамеренные действия. Исследователи заявили, что ответственность за предотвращение заражения всегда лежит на пользователе.

«Несмотря на обнаружение, агент безопасности не может очистить работающий компромисс и отключается», - добавили они. «Анализ другого образца вредоносного ПО показывает, что агент безопасности также был удален, прежде чем он мог вызвать предупреждение о взломе».

После взлома вредоносная программа устанавливает XMRig для майнинга Monero.

По словам исследователей, важно отметить, что в Alibaba ECS есть функция автоматического масштабирования, позволяющая автоматически настраивать вычислительные ресурсы в зависимости от объема пользовательских запросов. Это означает, что хакеры также могут расширить масштабы майнинга криптовалют, и пользователи несут расходы.

«К тому времени, когда счет поступает к ничего не подозревающей организации или пользователю, криптомайнер, вероятно, уже понес дополнительные расходы. Кроме того, законные подписчики должны вручную удалить заражение, чтобы очистить инфраструктуру от взлома », - предупреждают исследователи.