Instance Alibaba ECS ditargetkan dalam kampanye cryptojacking baru

Peretas ditemukan menyerang instance Alibaba Cloud Elastic Computing Service (ECS) untuk menambang cryptocurrency Monero dalam kampanye cryptojacking baru.

Peneliti keamanan di Trend Micro menemukan penjahat cyber menonaktifkan fitur keamanan di instance cloud sehingga mereka dapat menambang cryptocurrency.

Instance ECS dilengkapi dengan agen keamanan yang telah diinstal sebelumnya yang coba di-uninstal oleh peretas setelah disusupi. Para peneliti mengatakan kode spesifik dalam malware menciptakan aturan firewall untuk menjatuhkan paket masuk dari rentang IP milik zona dan wilayah internal Alibaba.

Instans Alibaba ECS default ini juga menyediakan akses root. Masalahnya di sini adalah contoh ini tidak memiliki tingkat hak istimewa yang berbeda yang ditemukan di penyedia cloud lainnya. Ini berarti peretas yang mendapatkan kredensial login untuk mengakses instance target dapat melakukannya melalui SSH tanpa memasang eskalasi serangan hak istimewa sebelumnya.

“Dalam situasi ini, pelaku ancaman memiliki hak istimewa tertinggi yang mungkin untuk dikompromikan, termasuk eksploitasi kerentanan, masalah kesalahan konfigurasi, kredensial yang lemah, atau kebocoran data,” kata peneliti.

Ini memungkinkan muatan lanjutan, seperti rootkit modul kernel dan mencapai kegigihan melalui layanan sistem yang berjalan untuk dikerahkan. “Mengingat fitur ini, tidak mengherankan bahwa banyak pelaku ancaman menargetkan Alibaba Cloud ECS hanya dengan memasukkan cuplikan kode untuk menghapus perangkat lunak yang hanya ditemukan di Alibaba ECS,” tambah mereka.

Para peneliti mengatakan bahwa ketika malware cryptojacking berjalan di dalam Alibaba ECS, agen keamanan yang diinstal akan mengirimkan pemberitahuan tentang skrip berbahaya yang sedang berjalan. Terserah pengguna untuk mencegah infeksi yang sedang berlangsung dan aktivitas jahat. Para peneliti mengatakan itu selalu menjadi tanggung jawab pengguna untuk mencegah infeksi ini terjadi di tempat pertama.

"Meskipun terdeteksi, agen keamanan gagal membersihkan kompromi yang berjalan dan dinonaktifkan," tambah mereka. “Melihat sampel malware lain menunjukkan bahwa agen keamanan juga dicopot pemasangannya sebelum dapat memicu peringatan untuk penyusupan.”

Setelah disusupi, malware memasang XMRig untuk menambang Monero.

Para peneliti mengatakan penting untuk dicatat bahwa Alibaba ECS memiliki fitur penskalaan otomatis untuk menyesuaikan sumber daya komputasi secara otomatis berdasarkan volume permintaan pengguna. Ini berarti peretas juga dapat meningkatkan penambangan kripto dan dengan biaya yang ditanggung oleh pengguna.

“Pada saat penagihan tiba ke organisasi atau pengguna tanpa disadari, cryptominer kemungkinan telah mengeluarkan biaya tambahan. Selain itu, pelanggan yang sah harus menghapus infeksi secara manual untuk membersihkan infrastruktur penyusupan,” para peneliti memperingatkan.