据The Hack News消息,GitHub Actions和Azure虚拟机 (VM) 正在被用于基于云的加密货币挖掘。这意味着,挖矿黑灰产已经开始将目光转向云资源。
趋势科技研究员 Magno Logan在一份报告中指出,“攻击者可以滥用GitHub提供的运行器或服务器来运行组织的管道和自动化,通过恶意下载和安装他们自己的加密货币矿工来轻松获取利润。”
GitHub Actions ( GHA ) 是一个持续集成和持续交付 (CI/CD) 平台,允许用户自动化软件构建、测试和部署管道。开发人员可以利用该功能创建工作流,构建和测试代码存储库的每个拉取请求,或将合并的拉取请求部署到生产环境。
趋势科技表示,它确定了不少于 1000 个存储库和 550 多个代码示例,它们利用该平台使用 GitHub 提供的运行器来挖掘加密货币。Microsoft 拥有的代码托管服务已收到有关此问题的通知。
趋势科技在11存储库中包含YAML脚本的类似变体,其中包含了挖掘门罗币的命令。有意思的是,这些加密货币最终都指向同一个钱包,这表明它要么是单个演员的杰作,要么是一个协同工作的团队。
基于云的加密货币挖掘
众所周知,面向 Cryptojacking 的团体通过利用目标系统中的安全漏洞(例如未修补的漏洞、弱凭据或配置错误的云实现)渗透到云部署中。非法加密货币挖矿领域的一些著名参与者包括8220、Keksec(又名 Kek Security)、Kinsing、Outlaw和TeamTNT。
该恶意软件工具集的另一个特点是使用终止脚本来终止和删除竞争的加密货币矿工,以最好地滥用云系统为自己谋取利益,趋势科技称其为“为控制受害者资源而战”。
也就是说,加密矿工的部署,除了产生基础设施和能源成本外,也是安全状况不佳的晴雨表,使攻击者能够将通过云配置错误获得的初始访问权武器化,以实现更具破坏性的目标,例如数据泄露或勒索软件。
该公司在早些时候的一份报告中指出:“恶意攻击者和团体不仅要和目标组织的安全系统、人员打交道,而且还必须相互竞争有限的资源。争夺并保留对受害者服务器的控制权是这些组织工具和技术发展的主要驱动力,促使他们不断提高从受感染系统中移除竞争对手的能力,同时抵制他们的攻击。”
