Cryptojacking implanta malware de mineração em serviços da AWS

Campanha de cryptojacking AMBERSQUID explora serviços de nuvem sem acionar processos de aprovação da AWS
Da Redação
19/09/2023

Para permanecer sem ser detectado por mais tempo em ambientes de nuvem, os invasores começaram a explorar serviços menos comuns que não são alvos de um alto nível de escrutínio de segurança. É o caso de uma recém-descoberta operação de cryptojacking chamada AMBERSQUID, que implanta malware de mineração de criptomoedas no AWS Amplify, AWS Fargate e Amazon SageMaker, em vez do mais óbvio Amazon Elastic Compute Cloud (Amazon EC2).

“A operação foi capaz de explorar serviços de nuvem sem acionar o requisito da AWS para aprovação de mais recursos, como seria o caso se enviasse apenas spam para instâncias do EC2”, disseram pesquisadores da empresa de segurança Sysdig em um relatório. “Segmentar vários serviços também representa desafios adicionais, como resposta a incidentes, uma vez que requer encontrar e matar todos os mineradores em cada serviço explorado.”

Os pesquisadores do Sysdig se depararam com a campanha de cryptojacking enquanto escaneavam 1,7 milhão de imagens de contêiner do Linux hospedadas no Docker Hub em busca de cargas maliciosas. Um contêiner mostrou indicadores de cryptojacking quando executado e uma análise mais aprofundada revelou vários contêineres semelhantes carregados por contas diferentes desde maio de 2022 que baixam mineradores de criptomoedas hospedados no GitHub. A julgar pelos comentários usados nos scripts maliciosos dentro dos contêineres, os pesquisadores acreditam que os cibercriminosos por trás da campanha são da Indonésia.

Quando implantadas na AWS usando credenciais roubadas, as imagens maliciosas do Docker executam uma série de scripts, começando com um que configura várias funções e permissões da AWS. Uma das funções criadas é chamada AWSCodeCommit-Role e tem acesso ao serviço AWS Amplify, um serviço que permite aos desenvolvedores criar, implantar e hospedar aplicativos móveis e da web full-stack na AWS. Essa função também obtém acesso ao AWS CodeCommit, um serviço gerenciado de repositório de código-fonte, e ao AWS CloudWatch, um serviço de monitoramento de infraestrutura e visualização de dados.

Uma segunda função criada pelos scripts de contêiner é chamada sugo-role e dá acesso total ao SageMaker, outro serviço da AWS que permite que cientistas de dados criem, treinem e implantem modelos de aprendizado de máquina. Uma terceira função criada é ecsTaskExecutionRole com acesso ao Amazon Elastic Container Service (Amazon ECS), um sistema de gerenciamento de contêineres do Docker nativo da AWS.

Os invasores começaram a explorar as funções recém-criadas em vários serviços, iniciando com o AWS CodeCommit, onde criam um repositório GitHub privado que hospeda o código de que precisam para as próximas etapas do ataque. Isso permite que não saiam do ecossistema da AWS após o comprometimento inicial, reduzindo as chances de alertas de tráfego de saída.

O repositório GitHub é usado para hospedar o código de um aplicativo mal-intencionado projetado para ser criado e implantado com o serviço AWS Amplify. Em seguida, o script gera cinco aplicativos do Amplify para serem implantados em diferentes regiões da AWS e, como parte de seus scripts de criação, um comando baixa e executa um criptominerador. Como a criptomineração e o roubo de recursos acontecem durante a construção do aplicativo, os invasores adicionaram código para prolongar esse processo o máximo possível. Quando os aplicativos finalmente terminam de compilar, outro script é executado que atualiza o código e o processo é reiniciado, iniciando a fase de construção novamente e, portanto, a criptomineração.

Outro alvo dessa campanha é o AWS CodeBuild, um serviço de integração contínua que pode ser usado para compilar e testar o código-fonte. O arquivo de especificação do CodeBuild para executar tarefas pode incluir comandos de compilação e os invasores incluíram comandos para executar seu minerador. Os invasores também definiram o valor de “tempo limite em minutos” para a tarefa de compilação para o máximo de oito horas para garantir que seu minerador seja executado por tanto tempo antes de ser reiniciado.

Em seguida, os invasores visaram o AWS CloudFormation, um serviço de infraestrutura como código que permite aos usuários provisionar recursos da AWS e de terceiros por meio de modelos. Esses recursos podem ser agrupados em pilhas e controlados como uma unidade.

“Os scripts dos invasores criam várias pilhas do CloudFormation que se originaram de um modelo que define um componente do EC2 Image Builder”, disseram os pesquisadores. “Dentro desse componente, eles colocam comandos para executar um minerador durante a fase de construção da imagem. Isso é semelhante aos comandos que podem ser definidos em um Dockerfile.”

Veja isso
Cryptojacking eleva conta de nuvem a US$ 760 mil
Cryptojacking pegou 81 mil roteadores no Brasil

Assim como no Amplify e no CodeBuild, o processo de mineração é gerado durante uma fase de compilação. Os invasores tentaram prolongá-lo o máximo possível, adicionando comandos cron no modelo para iniciar uma nova compilação a cada minuto.

Eles também exploraram o Amazon EC2 Auto Scaling, um recurso que permite aos usuários adicionar ou remover instâncias do EC2 usando políticas de escalabilidade definidas em modelos. Esse recurso foi usado para criar dois grupos de oito instâncias On-Demand e Spot, cada uma executando uma imagem de contêiner do Docker com um minerador.

Por fim, os hackers também exploraram instâncias de computação de aprendizado de máquina em execução no Jupyter Notebook App como parte do serviço Amazon SageMaker. Para cada instância do Jupyter Notebook, os usuários podem definir uma configuração de ciclo de vida que inclui uma coleção de scripts de shell que são executados quando as instâncias são criadas. Eles usaram essa funcionalidade para incluir um comando que executa o Docker e implanta uma de suas imagens do Docker Hub contendo um minerador. Ao explorar todos esses serviços com instâncias de contêiner desonestos e tarefas de compilação executadas em diferentes regiões, as vítimas podem incorrer em custos operacionais de US$ 2.244 por dia ou mais, de acordo com os pesquisadores do Sysdig.

Veja análise completa da Sysdig, em inglês, clicando aqui.

Compartilhar:

Últimas Notícias