عمليات اختراق AMBERSQUID الجديدة تستهدف خدمات AWS غير الشائعة. اكتشفت شركة Sysdig عملية اختراق جديدة تستهدف خدمات AWS غير الشائعة مثل AWS Amplify و AWS Fargate و Amazon SageMaker لتعدين العملات المشفرة بشكل غير قانوني.
أطلق على هذه العملية الخبيثة اسم AMBERSQUID.
تمكنت عملية AMBERSQUID من استغلال خدمات السحابة دون تشغيل متطلب AWS للموافقة على المزيد من الموارد، كما هو الحال إذا قاموا فقط بإرسال البريد العشوائي إلى مثيلات EC2.
إن استهداف خدمات متعددة يطرح أيضًا تحديات إضافية، مثل الاستجابة للحوادث، حيث يتطلب العثور على جميع عمال المناجم والقضاء عليهم في كل خدمة مستغلة.
قالت شركة Sysdig إنها اكتشفت الحملة بعد تحليل 1.7 مليون صورة على Docker Hub، وعزتها بثقة متوسطة إلى مهاجمين إندونيسيين بناءً على استخدام اللغة الإندونيسية في النصوص وأسماء المستخدمين.
بعض هذه الصور مصممة لتشغيل عمال مناجم العملات المشفرة التي يتم تنزيلها من مستودعات GitHub التي يسيطر عليها الجهات الفاعلة. بينما يدير البعض الآخر نصوص shell التي تستهدف AWS.
إحدى السمات الرئيسية هي إساءة استخدام AWS CodeCommit. والذي يتم استخدامه لاستضافة مستودعات Git الخاصة. “لتوليد مستودع خاص يستخدمونه بعد ذلك في خدمات مختلفة كمصدر.”
تحتوي المستودع على الكود المصدري لتطبيق AWS Amplify، والذي يتم استغلاله بدوره بواسطة نص shell لإنشاء تطبيق web Amplify وإطلاق عامل تعدين العملات المشفرة في النهاية.
كما تم رصد الجهات الفاعلة في مجال التهديد وهي تستخدم نصوص shell لتنفيذ cryptojacking في مثيلات AWS Fargate و SageMaker، مما أدى إلى تكاليف حوسبة كبيرة للضحايا.
قدرت شركة Sysdig أن AMBERSQUID يمكن أن تؤدي إلى خسائر تزيد عن 10000 دولار في اليوم إذا تم توسيع نطاقها لتستهدف جميع مناطق AWS. كما أن تحليلاً آخر لعناوين المحفظة المستخدمة يكشف أن المهاجمين حققوا إيرادات تزيد عن 18300 دولار حتى الآن.
هل هي المرة الأولى.
هذه ليست المرة الأولى التي يتم فيها ربط جهات الفاعلة في مجال التهديد الإندونيسية بحملات cryptojacking. في مايو 2023. قامت Permiso P0 Labs بتفصيل جهة فاعلة تُدعى GUI-vil تم اكتشافها وهي تستفيد من مثيلات Amazon Web Services (AWS) Elastic Compute Cloud (EC2) لتنفيذ عمليات تعدين العملات المشفرة.
أخبر مايكل كلارك. مدير أبحاث التهديدات في Sysdig .The Hacker News أنه “لا يبدو أن هناك الكثير من التداخل بين TTPs للهجماتين”. وأنها على الأرجح تُنفذ من قبل مجموعات مختلفة.
“ولكن هذا يظهر أن إندونيسيا لديها مجتمع مزدهر حول cryptojacking.”
وقال أليساندرو بروكاتو، الباحث الأمني في Sysdig. “بينما يستهدف معظم المهاجمين بدوافع مالية خدمات الحوسبة. مثل EC2. من المهم أن نتذكر أن العديد من الخدمات الأخرى توفر أيضًا الوصول إلى موارد الحوسبة (وإن كان بشكل غير مباشر).”
“من السهل تجاهل هذه الخدمات من منظور الأمان حيث توجد رؤية أقل مقارنة بالمتوفرة من خلال الكشف عن التهديدات في وقت التشغيل.”
توصيات حول كيفية حماية نفسك من AMBERSQUID:
- تأكد من مراجعة وتقييد الأذونات الممنوحة للخدمات في حساب AWS الخاص بك.
- استخدم المراقبة المستمرة للكشف عن أي نشاط غير طبيعي في حساب AWS الخاص بك.
- ضع في اعتبارك استخدام حلول أمان مصممة خصيصًا للبيئات السحابية.
الوقاية من cryptojacking:
- تأكد من تحديث البرامج الثابتة والبرمجيات على جميع الأجهزة المتصلة بالإنترنت بشكل منتظم.
- استخدم برنامج مكافحة الفيروسات والتجسس على جميع الأجهزة.
- كن حذرًا عند فتح الروابط أو المرفقات في رسائل البريد الإلكتروني والرسائل النصية.
- لا تقم بتنزيل التطبيقات من خارج المتاجر الرسمي.
عمليات اختراق AMBERSQUID الجديدة تستهدف خدمات AWS غير الشائعة.عمليات اختراق AMBERSQUID الجديدة تستهدف خدمات AWS غير الشائعة. تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.