Istanze Alibaba ECS prese di mira nella nuova campagna di cryptojacking

Sono stati trovati hacker che attaccano istanze di Alibaba Cloud Elastic Computing Service (ECS) per estrarre la criptovaluta Monero in una nuova campagna di cryptojacking.

I ricercatori di sicurezza di Trend Micro hanno scoperto che i criminali informatici disabilitavano le funzionalità di sicurezza nelle istanze cloud in modo da poter estrarre criptovaluta.

Le istanze ECS sono dotate di un agente di sicurezza preinstallato che gli hacker tentano di disinstallare in caso di compromissione. I ricercatori hanno affermato che il codice specifico nel malware ha creato regole del firewall per eliminare i pacchetti in arrivo dagli intervalli IP appartenenti alle zone e alle regioni interne di Alibaba.

Queste istanze Alibaba ECS predefinite forniscono anche l'accesso come root. Il problema qui è che in queste istanze mancano i diversi livelli di privilegio trovati in altri fornitori di servizi cloud. Ciò significa che gli hacker che ottengono le credenziali di accesso per accedere a un'istanza di destinazione possono farlo tramite SSH senza dover avviare un'escalation dell'attacco ai privilegi in anticipo.

"In questa situazione, l'attore della minaccia ha il più alto privilegio possibile in caso di compromissione, incluso lo sfruttamento della vulnerabilità, qualsiasi problema di configurazione errata, credenziali deboli o fuga di dati", hanno affermato i ricercatori.

Ciò consente di distribuire payload avanzati, come i rootkit dei moduli del kernel e ottenere la persistenza tramite l'esecuzione dei servizi di sistema. "Data questa funzionalità, non sorprende che più attori delle minacce prendano di mira Alibaba Cloud ECS semplicemente inserendo uno snippet di codice per la rimozione di software che si trova solo in Alibaba ECS", hanno aggiunto.

I ricercatori hanno affermato che quando il malware di cryptojacking è in esecuzione all'interno di Alibaba ECS, l'agente di sicurezza installato invierà una notifica di uno script dannoso in esecuzione. Spetta quindi all'utente prevenire infezioni in corso e attività dannose. I ricercatori hanno affermato che è sempre responsabilità dell'utente prevenire che questa infezione si verifichi in primo luogo.

"Nonostante il rilevamento, l'agente di sicurezza non riesce a ripulire la compromissione in esecuzione e viene disabilitato", hanno aggiunto. "L'analisi di un altro esempio di malware mostra che anche l'agente di sicurezza è stato disinstallato prima che potesse attivare un avviso di compromissione".

Una volta compromesso, il malware installa un XMRig per estrarre Monero.

I ricercatori hanno affermato che è importante notare che Alibaba ECS ha una funzionalità di scalabilità automatica per regolare automaticamente le risorse di elaborazione in base al volume delle richieste degli utenti. Ciò significa che gli hacker possono anche aumentare il cryptomining e con gli utenti che si fanno carico dei costi.

"Quando la fatturazione arriva all'organizzazione o all'utente inconsapevoli, è probabile che il cryptominer abbia già sostenuto costi aggiuntivi. Inoltre, gli abbonati legittimi devono rimuovere manualmente l'infezione per ripulire l'infrastruttura dalla compromissione", hanno avvertito i ricercatori.