Una nuova operazione di cryptojacking, denominata AMBERSQUID, sta prendendo di mira servizi Amazon Web Services (AWS) meno comuni, come AWS Amplify, AWS Fargate e Amazon SageMaker, per minare criptovalute in modo illecito. La campagna malevola è stata identificata dalla società di sicurezza cloud e container Sysdig, che ha condiviso i dettagli in un rapporto con The Hacker News.
Dettagli dell’operazione
L’operazione AMBERSQUID è stata in grado di sfruttare i servizi cloud senza innescare l’approvazione di AWS per l’utilizzo di risorse aggiuntive, come sarebbe avvenuto se avessero solamente inviato spam attraverso le istanze EC2. Questa strategia pone sfide aggiuntive in termini di risposta agli incidenti, poiché richiede l’identificazione e l’eliminazione di tutti i miner in ogni servizio compromesso.
Sysdig ha scoperto la campagna dopo un’analisi di 1,7 milioni di immagini su Docker Hub, attribuendo con moderata fiducia l’attacco a malintenzionati indonesiani, basandosi sull’uso della lingua indonesiana in script e nomi utente. Alcune di queste immagini sono state progettate per eseguire miner di criptovalute scaricati da repository GitHub controllati dagli attori, mentre altre eseguono script shell che mirano ad AWS.
Caratteristiche e impatto finanziario
Una caratteristica distintiva è l’abuso di AWS CodeCommit, utilizzato per ospitare repository Git privati, per “generare un repository privato utilizzato poi in diversi servizi come fonte”. Il repository contiene il codice sorgente di un’app AWS Amplify, che a sua volta viene sfruttata da uno script shell per creare un’app web Amplify e avviare il miner di criptovalute.
Gli aggressori hanno anche utilizzato script shell per effettuare cryptojacking nelle istanze AWS Fargate e SageMaker, causando costi computazionali significativi per le vittime. Sysdig stima che AMBERSQUID potrebbe causare perdite superiori a 10.000 dollari al giorno se fosse scalata per colpire tutte le regioni AWS. Un’ulteriore analisi degli indirizzi dei portafogli utilizzati rivela che gli aggressori hanno guadagnato più di 18.300 dollari finora.
Non è la prima volta che attori minacciosi indonesiani vengono collegati a campagne di cryptojacking. Nel maggio 2023, Permiso P0 Labs ha dettagliato un attore chiamato GUI-vil che sfruttava le istanze AWS Elastic Compute Cloud (EC2) per condurre operazioni di mining di criptovalute. È fondamentale non trascurare la sicurezza di questi servizi, che possono facilmente essere ignorati a causa della minore visibilità rispetto alla rilevazione delle minacce in tempo reale.