Versteckte Bedrohung in AWS
Die neue Cloud-native Kryptojacking-Operation AMBERSQUID nutzt ungewöhnliche AWS-Dienste wie AWS Amplify, AWS Fargate und Amazon SageMaker. Diese Dienste werden normalerweise nicht von Angreifern verwendet und werden daher oft in Bezug auf Sicherheit übersehen. Die AMBERSQUID-Operation kann Opfern jedoch täglich mehr als 10.000 US-Dollar kosten.
In den Untersuchungen des Sysdig Threat Research Teams (TRT) konnte AMBERSQUID Cloud-Dienste ausnutzen, ohne zusätzliche AWS-Ressourcenanforderungen auszulösen, wie es bei herkömmlichem Spamming von EC2-Instanzen der Fall wäre. Das Anvisieren mehrerer Dienste stellt zusätzliche Herausforderungen dar, da alle Miner in jedem ausgenutzten Dienst gefunden und deaktiviert werden müssen.
AMBERSQUID wurde entdeckt, indem über 1,7 Millionen Linux-Images analysiert wurden, um bösartige Nutzlasten in Container-Images auf Docker Hub aufzudecken. Dieses gefährliche Container-Image löste beim statischen Scannen nach bekannten Indikatoren oder schädlichen Binärdateien keinen Alarm aus. Erst bei der Ausführung des Containers wurden die Kryptojacking-Aktivitäten über mehrere Dienste hinweg sichtbar. Dies deckt sich mit den Ergebnissen unseres Cloud Threat Reports 2023, der zeigt, dass 10 Prozent der schädlichen Images durch statische Scans übersehen werden.
Die Verwendung der indonesischen Sprache in Skripten und Benutzernamen deutet stark auf indonesische Angreifer hin. Diese Angreifer sind bekannt dafür, regelmäßig Freejacking- und Cryptojacking-Angriffe durchzuführen, da diese aufgrund ihrer geringen Lebenshaltungskosten eine lukrative Einnahmequelle darstellen.
Zusammenfassend ist es wichtig zu beachten, dass Cloud Service Provider (CSPs) wie AWS ihren Kunden eine breite Palette unterschiedlicher Dienste anbieten. Während die meisten finanziell motivierten Angreifer sich auf Rechendienste wie EC2 konzentrieren, dürfen andere Dienste nicht übersehen werden, da sie indirekten Zugang zu Rechenressourcen bieten. Diese Dienste können in Bezug auf Sicherheit leicht übersehen werden, da sie weniger transparent in Bezug auf die Erkennung von Laufzeitbedrohungen sind.
Es ist entscheidend, alle von einem CSP angebotenen Dienste auf möglichen Missbrauch zu überwachen. Wenn die Echtzeit-Erkennung von Bedrohungen nicht möglich ist, sollten die Dienstnutzungen auf höherer Ebene protokolliert werden, um Bedrohungen wie AMBERSQUID zu identifizieren. Bei der Erkennung von bösartigen Aktivitäten sollten rasch Gegenmaßnahmen ergriffen werden, um die betroffenen Dienste zu deaktivieren und den Schaden zu minimieren. Dies betrifft nicht nur AWS, sondern könnte auch andere CSPs betreffen.
Alessandro Brucato
AMBERSQUID wurde entdeckt, indem über 1,7 Millionen Linux-Images analysiert wurden, um bösartige Nutzlasten in Container-Images auf Docker Hub aufzudecken.
