Криптомайнеры внедряют вредоносный код в образы AMI

Вс 23 Август 2020 07:24

ИБ-эксперты из компании Mitiga предупредили о потенциальном векторе атак, связанном с сервисами Amazon Web Services и площадкой AWS Marketplace, предлагающей предварительно сконфигурированные виртуальные серверы. Речь идет об атаках, в которых злоумышленники распространяют вредоносные образы общих AMI (Community Amazon Machine Image) через AWS Marketplace.

Один из таких случаев специалисты обнаружили, когда изучали машины на базе Windows 2008 Server в рамках расследования инцидента в некой финансовой компании. Они заметили, что устройство использовало значительно больше ресурсов, чем требовалось. Более тщательный анализ показал наличие активного майнера криптовалюты Monero, внедренного в образ общего AMI, используемого для создания экземпляра Elastic Cloud Compute (EC2), что позволило злоумышленникам зарабатывать за счет организации.

Как отмечают эксперты, крупные компании могут и не обратить внимание на дополнительные издержки, поскольку расходы, связанные с аккаунтом в Amazon, могут достигать сотни тысяч долларов.

По словам исследователей, вредоносный образ был удален с серверов клиента компании, но все еще доступен на AWS Marketplace.

«Проблема заключается не в том, что клиент делает что-то неправильно, а в Community AMI и отсутствии проверок и балансирования. Любой человек может создать образ и разместить его в библиотеке Community AMI, включая вредоносные», - отметил специалист Mitiga Офер Маор (Ofer Maor).

Примечательно, что подобные атаки могут использоваться не только для внедрения программ для добычи криптовалюты, но и бэкдоров и вымогательского ПО.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 220 дней 8 часов 43 минуты 22 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.