Home » News » Cybersecurity » Versteckte Bedrohung in AWS

Versteckte Bedrohung in AWS

Die neue Cloud-native Kryptojacking-Operation AMBERSQUID nutzt ungewöhnliche AWS-Dienste wie AWS Amplify, AWS Fargate und Amazon SageMaker. Diese Dienste werden normalerweise nicht von Angreifern verwendet und werden daher oft in Bezug auf Sicherheit übersehen. Die AMBERSQUID-Operation kann Opfern jedoch täglich mehr als 10.000 US-Dollar kosten.

1 Min. Lesezeit
Foto: ©AdobeStock/Mahmut

In den Untersuchungen des Sysdig Threat Research Teams (TRT) konnte AMBERSQUID Cloud-Dienste ausnutzen, ohne zusätzliche AWS-Ressourcenanforderungen auszulösen, wie es bei herkömmlichem Spamming von EC2-Instanzen der Fall wäre. Das Anvisieren mehrerer Dienste stellt zusätzliche Herausforderungen dar, da alle Miner in jedem ausgenutzten Dienst gefunden und deaktiviert werden müssen.

AMBERSQUID wurde entdeckt, indem über 1,7 Millionen Linux-Images analysiert wurden, um bösartige Nutzlasten in Container-Images auf Docker Hub aufzudecken. Dieses gefährliche Container-Image löste beim statischen Scannen nach bekannten Indikatoren oder schädlichen Binärdateien keinen Alarm aus. Erst bei der Ausführung des Containers wurden die Kryptojacking-Aktivitäten über mehrere Dienste hinweg sichtbar. Dies deckt sich mit den Ergebnissen unseres Cloud Threat Reports 2023, der zeigt, dass 10 Prozent der schädlichen Images durch statische Scans übersehen werden.

Die Verwendung der indonesischen Sprache in Skripten und Benutzernamen deutet stark auf indonesische Angreifer hin. Diese Angreifer sind bekannt dafür, regelmäßig Freejacking- und Cryptojacking-Angriffe durchzuführen, da diese aufgrund ihrer geringen Lebenshaltungskosten eine lukrative Einnahmequelle darstellen.

Zusammenfassend ist es wichtig zu beachten, dass Cloud Service Provider (CSPs) wie AWS ihren Kunden eine breite Palette unterschiedlicher Dienste anbieten. Während die meisten finanziell motivierten Angreifer sich auf Rechendienste wie EC2 konzentrieren, dürfen andere Dienste nicht übersehen werden, da sie indirekten Zugang zu Rechenressourcen bieten. Diese Dienste können in Bezug auf Sicherheit leicht übersehen werden, da sie weniger transparent in Bezug auf die Erkennung von Laufzeitbedrohungen sind.

Es ist entscheidend, alle von einem CSP angebotenen Dienste auf möglichen Missbrauch zu überwachen. Wenn die Echtzeit-Erkennung von Bedrohungen nicht möglich ist, sollten die Dienstnutzungen auf höherer Ebene protokolliert werden, um Bedrohungen wie AMBERSQUID zu identifizieren. Bei der Erkennung von bösartigen Aktivitäten sollten rasch Gegenmaßnahmen ergriffen werden, um die betroffenen Dienste zu deaktivieren und den Schaden zu minimieren. Dies betrifft nicht nur AWS, sondern könnte auch andere CSPs betreffen.

Alessandro Brucato

 

AMBERSQUID wurde entdeckt, indem über 1,7 Millionen Linux-Images analysiert wurden, um bösartige Nutzlasten in Container-Images auf Docker Hub aufzudecken.

Quelle: Sysdig

Andere interessante News

Datensicherheit, Cloud

Fehler bei SaaS-Datensicherheit vermeiden

Wenn es um SaaS-Datensicherheit mit geteilter Verantwortung für Datensicherheit in der Cloud geht, ist es wichtig, Modelle der geteilten Verantwortung (Shared responsibility) zu verstehen und kritische Fehler beim Schutz von SaaS-Daten vermeiden. Was bei der Nutzung von As-a-Service-Diensten und der Cloud zu beachten ist.

Phishing

Spear-Phishing-Methoden jetzt bei Massen-Phishing-Kampagnen entdeckt

Cyberkriminelle nutzen Methoden aus Spear-Phishing zunehmend für Massenkampagnen. Während herkömmliche Phishing-Mails generische, oft fehlerhafte Nachrichten an viele Empfänger senden, sind Spear-Phishing-Nachrichten hochgradig personalisiert und enthalten spezifische Details der Zielperson, wodurch sie glaubwürdiger wirken.

Mensch mit Smartphone

Wie Identity Fabric den Boden für Zero Trust bereitet

Identity Fabric (IF) ist eine moderne Infrastruktur für Identitäts- und Zugriffsmanagement (IAM) in hybriden und Multi-Cloud-Umgebungen. Sie kombiniert modulare IAM-Tools für hybride und Multi-Cloud-Umgebungen, unterstützt alle menschlichen und maschinellen Identitäten, bietet erweiterte Analysen und standardbasierte Integrationen – und ist ein wichtiger Schritt in Richtung Zero Trust.