Das SysdigThreat Research Team (TRT) hat eine neue Cloud-native Kryptojacking-Operation entdeckt, die AMBERSQUID getauft wurde. Diese Operation nutzt AWS-Dienste, die normalerweise nicht von Angreifern verwendet werden. Dazu gehören etwa AWS Amplify, AWS Fargate und Amazon SageMaker – eine versteckte Bedrohung in AWS. Durch die Tatsache, dass diese Dienste sehr ungewöhnlich sind, werden sie aus Sicherheitsperspektive oft übersehen. Die AMBERSQUID-Operation kann die Opfer mehr als 10.000 US-Dollar pro Tag kosten.
AMBERSQUID war in der Lage, Cloud-Dienste auszunutzen, ohne AWS-Anforderungen für die Autorisierung zusätzlicher Ressourcen auszulösen. Das wäre etwa der Fall, wenn er nur EC2-Instanzen spammen würde. Das Anvisieren mehrerer Dienste bringt zusätzliche Herausforderungen mit sich, wie beispielsweise die Reaktion auf Zwischenfälle. Denn hier müssen alle Miner in jedem ausgenutzten Dienst gefunden und ausgeschaltet werden.
Analyse von Millionen Linux-Images
Das SysdigThreat Research Team hat AMBERSQUID entdeckt, indem es über 1,7 Millionen Linux-Images analysiert hat, um zu verstehen, welche Art von bösartigen Nutzlasten (Schadprogrammen) in Container-Images auf Docker Hub versteckt sind.
Dieses gefährliche Container-Image löste beim statischen Scannen nach bekannten Indikatoren oder schädlichen Binärdateien keinen Alarm aus. Erst als der Container ausgeführt wurde, wurden seine dienstübergreifenden Kryptojacking-Aktivitäten offensichtlich. Dies steht im Einklang mit den Ergebnissen des Cloud Threat Report 2023, in dem das Team festgestellt hat, dass zehn Prozent der schädlichen Images durch statische Scans übersehen werden.
Aufgrund der Verwendung der indonesischen Sprache in Skripten und Benutzernamen lassen sich diese Operation mit einiger Sicherheit indonesischen Angreifern zuschreiben. Das Team sieht auch regelmäßig Freejacking- und Cryptojacking-Angriffe als lukrative Einnahmequelle für indonesische Angreifer aufgrund ihrer niedrigen Lebenshaltungskosten.
Fazit: Versteckte Bedrohung in AWS
Cloud Service Provider (CSPs) wie AWS bieten ihren Kunden eine breite Palette unterschiedlicher Dienste an. Während die meisten finanziell motivierten Angreifer auf Rechendienste wie EC2 abzielen, darf nicht vergessen werden, dass viele andere Dienste ebenfalls Zugang zu Rechenressourcen bieten (wenn auch eher indirekt). Diese Dienste können aus der Sicherheitsperspektive leicht übersehen werden, da sie im Vergleich zur Erkennung von Laufzeitbedrohungen weniger transparent sind.
Alle von einem CSP angebotenen Dienste müssen auf böswillige Nutzung überwacht werden. Wenn die Erkennung von Bedrohungen zur Laufzeit nicht möglich ist, sollte die Nutzung der Dienste auf höherer Ebene protokolliert werden, um Bedrohungen wie AMBERSQUID zu erkennen. Wenn böswillige Aktivitäten erkannt werden, sollten schnell Gegenmaßnahmen ergriffen werden, um die betroffenen Dienste abzuschalten und den Schaden zu begrenzen. Während dies bei AWS der Fall war, könnten andere CSPs leicht das nächste Ziel sein.
Eine ausführliche Analyse der technischen Hintergründe sowie eine Aufführung der Kosten für Opfer.