Alibaba ECS-Instanzen im Visier einer neuen Kryptojacking-Kampagne

Es wurde festgestellt, dass Hacker Instanzen des Alibaba Cloud Elastic Computing Service (ECS) angreifen, um die Kryptowährung Monero in einer neuen Kryptojacking-Kampagne zu schürfen.

Sicherheitsforscher von Trend Micro entdeckten, dass Cyberkriminelle Sicherheitsfunktionen in Cloud-Instanzen deaktivierten, damit sie nach Kryptowährung schürfen konnten.

ECS-Instanzen werden mit einem vorinstallierten Sicherheitsagenten geliefert, den Hacker bei einer Kompromittierung versuchen zu deinstallieren. Forscher sagten, dass spezifischer Code in der Malware Firewall-Regeln erstellt hat, um eingehende Pakete aus IP-Bereichen zu verwerfen, die zu internen Alibaba-Zonen und -Regionen gehören.

Diese standardmäßigen Alibaba ECS-Instances bieten auch Root-Zugriff. Das Problem hierbei ist, dass diesen Instanzen die unterschiedlichen Berechtigungsstufen anderer Cloud-Anbieter fehlen. Dies bedeutet, dass Hacker, die Anmeldeinformationen für den Zugriff auf eine Zielinstanz erhalten, dies über SSH tun können, ohne zuvor einen Eskalationsangriff auf Berechtigungen zu starten.

„In dieser Situation hat der Bedrohungsakteur die höchstmöglichen Privilegien bei einer Kompromittierung, einschließlich der Ausnutzung von Schwachstellen, jeglicher Fehlkonfiguration, schwacher Anmeldeinformationen oder Datenlecks“, so die Forscher.

Dies ermöglicht die Bereitstellung erweiterter Payloads wie Kernelmodul-Rootkits und das Erreichen von Persistenz über laufende Systemdienste. „Angesichts dieser Funktion überrascht es nicht, dass mehrere Bedrohungsakteure auf Alibaba Cloud ECS abzielen, indem sie einfach einen Codeausschnitt zum Entfernen von Software einfügen, die nur in Alibaba ECS zu finden ist“, fügten sie hinzu.

Forscher sagten, dass, wenn Cryptojacking-Malware in Alibaba ECS ausgeführt wird, der installierte Sicherheitsagent eine Benachrichtigung über ein bösartiges Skript sendet, das ausgeführt wird. Es liegt dann am Benutzer, laufende Infektionen und böswillige Aktivitäten zu verhindern. Forscher sagten, es sei immer die Verantwortung des Benutzers, diese Infektion von vornherein zu verhindern.

„Trotz Erkennung kann der Sicherheitsagent die laufende Kompromittierung nicht beseitigen und wird deaktiviert“, fügten sie hinzu. „Ein Blick auf eine andere Malware-Probe zeigt, dass der Sicherheitsagent ebenfalls deinstalliert wurde, bevor er eine Gefährdungswarnung auslösen konnte.“

Einmal kompromittiert, installiert die Malware ein XMRig, um nach Monero zu schürfen.

Forscher sagten, es sei wichtig zu beachten, dass Alibaba ECS über eine automatische Skalierungsfunktion verfügt, um Rechenressourcen basierend auf dem Volumen der Benutzeranfragen automatisch anzupassen. Das bedeutet, dass Hacker auch Krypto-Mining skalieren können, wobei die Nutzer die Kosten tragen.

„Bis die Rechnung bei der unwissenden Organisation oder dem Benutzer ankommt, sind dem Cryptominer wahrscheinlich bereits zusätzliche Kosten entstanden. Außerdem müssen die legitimen Abonnenten die Infektion manuell entfernen, um die Infrastruktur von der Kompromittierung zu befreien“, warnten Forscher.