Instancias ECS de Alibaba apuntadas en una nueva campaña de cryptojacking

Se han encontrado piratas informáticos atacando instancias de Alibaba Cloud Elastic Computing Service (ECS) para minar la criptomoneda Monero en una nueva campaña de cryptojacking.

Los investigadores de seguridad de Trend Micro descubrieron que los ciberdelincuentes deshabilitaban las funciones de seguridad en las instancias de la nube para poder extraer criptomonedas.

Las instancias de ECS vienen con un agente de seguridad preinstalado que los piratas informáticos intentan desinstalar si se ve comprometido. Los investigadores dijeron que un código específico en el malware creó reglas de firewall para eliminar los paquetes entrantes de los rangos de IP que pertenecen a las zonas y regiones internas de Alibaba.

Estas instancias predeterminadas de Alibaba ECS también brindan acceso raíz. El problema aquí es que estas instancias carecen de los diferentes niveles de privilegios que se encuentran en otros proveedores de nube. Esto significa que los piratas informáticos que obtengan credenciales de inicio de sesión para acceder a una instancia de destino pueden hacerlo a través de SSH sin montar un ataque de escalada de privilegios de antemano.

“En esta situación, el actor de la amenaza tiene el mayor privilegio posible en caso de compromiso, incluida la explotación de vulnerabilidades, cualquier problema de configuración incorrecta, credenciales débiles o fuga de datos”, dijeron los investigadores.

Esto permite que se implementen cargas útiles avanzadas, como rootkits de módulos del kernel y lograr la persistencia a través de los servicios del sistema en ejecución. "Dada esta característica, no sorprende que varios actores de amenazas apunten a Alibaba Cloud ECS simplemente insertando un fragmento de código para eliminar el software que se encuentra solo en Alibaba ECS", agregaron.

Los investigadores dijeron que cuando el malware de cryptojacking se ejecuta dentro de Alibaba ECS, el agente de seguridad instalado enviará una notificación de ejecución de un script malicioso. Entonces depende del usuario evitar infecciones continuas y actividades maliciosas. Los investigadores dijeron que siempre es responsabilidad del usuario evitar que ocurra esta infección en primer lugar.

“A pesar de la detección, el agente de seguridad no logra limpiar el compromiso en ejecución y se desactiva”, agregaron. "Observar otra muestra de malware muestra que el agente de seguridad también se desinstaló antes de que pudiera activar una alerta de compromiso".

Una vez comprometido, el malware instala un XMRig para extraer Monero.

Los investigadores dijeron que era importante tener en cuenta que Alibaba ECS tiene una función de escalado automático para ajustar automáticamente los recursos informáticos en función del volumen de solicitudes de los usuarios. Esto significa que los piratas informáticos también pueden aumentar la criptominería y que los usuarios asuman los costos.

“Para cuando la facturación llega a la organización o usuario involuntario, es probable que el criptominero ya haya incurrido en costos adicionales. Además, los suscriptores legítimos tienen que eliminar manualmente la infección para limpiar la infraestructura del compromiso”, advirtieron los investigadores.