Home » News » Cybersecurity » Versteckte Bedrohung in AWS

Versteckte Bedrohung in AWS

Die neue Cloud-native Kryptojacking-Operation AMBERSQUID nutzt ungewöhnliche AWS-Dienste wie AWS Amplify, AWS Fargate und Amazon SageMaker. Diese Dienste werden normalerweise nicht von Angreifern verwendet und werden daher oft in Bezug auf Sicherheit übersehen. Die AMBERSQUID-Operation kann Opfern jedoch täglich mehr als 10.000 US-Dollar kosten.

1 Min. Lesezeit
Eine Person mit einer digitalen Benutzeroberfläche im Gesicht sitzt an einem Schreibtisch und analysiert komplexe Daten und Grafiken auf zwei Monitoren. Die futuristisch anmutende Umgebung betont durch die gedämpfte Beleuchtung das Leuchten des Bildschirms und lässt auf eine verborgene Bedrohung durch AWS schließen, die in den technologischen Tiefen lauert.
Foto: ©AdobeStock/Mahmut

In den Untersuchungen des Sysdig Threat Research Teams (TRT) konnte AMBERSQUID Cloud-Dienste ausnutzen, ohne zusätzliche AWS-Ressourcenanforderungen auszulösen, wie es bei herkömmlichem Spamming von EC2-Instanzen der Fall wäre. Das Anvisieren mehrerer Dienste stellt zusätzliche Herausforderungen dar, da alle Miner in jedem ausgenutzten Dienst gefunden und deaktiviert werden müssen.

AMBERSQUID wurde entdeckt, indem über 1,7 Millionen Linux-Images analysiert wurden, um bösartige Nutzlasten in Container-Images auf Docker Hub aufzudecken. Dieses gefährliche Container-Image löste beim statischen Scannen nach bekannten Indikatoren oder schädlichen Binärdateien keinen Alarm aus. Erst bei der Ausführung des Containers wurden die Kryptojacking-Aktivitäten über mehrere Dienste hinweg sichtbar. Dies deckt sich mit den Ergebnissen unseres Cloud Threat Reports 2023, der zeigt, dass 10 Prozent der schädlichen Images durch statische Scans übersehen werden.

Die Verwendung der indonesischen Sprache in Skripten und Benutzernamen deutet stark auf indonesische Angreifer hin. Diese Angreifer sind bekannt dafür, regelmäßig Freejacking- und Cryptojacking-Angriffe durchzuführen, da diese aufgrund ihrer geringen Lebenshaltungskosten eine lukrative Einnahmequelle darstellen.

Zusammenfassend ist es wichtig zu beachten, dass Cloud Service Provider (CSPs) wie AWS ihren Kunden eine breite Palette unterschiedlicher Dienste anbieten. Während die meisten finanziell motivierten Angreifer sich auf Rechendienste wie EC2 konzentrieren, dürfen andere Dienste nicht übersehen werden, da sie indirekten Zugang zu Rechenressourcen bieten. Diese Dienste können in Bezug auf Sicherheit leicht übersehen werden, da sie weniger transparent in Bezug auf die Erkennung von Laufzeitbedrohungen sind.

Es ist entscheidend, alle von einem CSP angebotenen Dienste auf möglichen Missbrauch zu überwachen. Wenn die Echtzeit-Erkennung von Bedrohungen nicht möglich ist, sollten die Dienstnutzungen auf höherer Ebene protokolliert werden, um Bedrohungen wie AMBERSQUID zu identifizieren. Bei der Erkennung von bösartigen Aktivitäten sollten rasch Gegenmaßnahmen ergriffen werden, um die betroffenen Dienste zu deaktivieren und den Schaden zu minimieren. Dies betrifft nicht nur AWS, sondern könnte auch andere CSPs betreffen.

Alessandro Brucato

 

AMBERSQUID wurde entdeckt, indem über 1,7 Millionen Linux-Images analysiert wurden, um bösartige Nutzlasten in Container-Images auf Docker Hub aufzudecken.

Flussdiagramm eines Kryptomining-Angriffs: Docker Hub und GitHub, verbunden mit ECS-Instanzen und EC2- und SageMaker-Diensten, führen den Angriff aus. Diese versteckte Bedrohung in AWS nutzt IAM-Rollen und beeinträchtigt Code-Infrastrukturen wie CodeCommit, CodeBuild und CloudFormation.
Quelle: Sysdig

Andere interessante News

Cyber-Resilienz Konzept auf Laptop in Serverraum

Wie Unternehmen ihre Cyber-Resilienz stärken können

Immer mehr Sicherheitsverantwortliche fordern: Die Risikobewertung von Drittanbietern muss fester Bestandteil jeder Cyber-Resilienz-Strategie werden. Einheitliche Standards fehlen ...

Virenwarnung auf dem Computerbildschirm

Report: Exploits bleiben häufigster Angriffsvektor für Erstinfektionen

Ein neuer, tiefgreifender Report bündelt die wichtigsten Erkenntnisse des Jahres 2024 – direkt aus den Schaltzentralen weltweiter Cyberermittlungen und aus dem Krisenmanagement nac...

Reihe von Netzwerkservern mit leuchtenden LED-Lichtern.

Warum starke IT nicht automatisch für Sicherheit steht

Vier von fünf Beschäftigten vertrauen auf die Kompetenz ihrer IT-Abteilung – doch genau dieses Vertrauen kann trügen. Werden Investitionen in die IT-Sicherheit vernachlässigt, stei...