Shutterstock

Hackare har hittats attackera Alibaba Cloud Elastic Computing Service (ECS) för att bryta Monero kryptovaluta i en ny kryptojackningskampanj.

Säkerhetsforskare på Trend Micro upptäckte cyberbrottslingar som inaktiverade säkerhetsfunktioner i molninstanser så att de kunde bryta efter kryptovaluta.

ECS-instanser kommer med en förinstallerad säkerhetsagent som hackare försöker avinstallera vid kompromiss. Forskare sa att specifik kod i skadlig programvara skapade brandväggsregler för att släppa in inkommande paket från IP-områden som tillhör interna Alibaba-zoner och regioner.

Dessa standard Alibaba ECS-instanser ger också root-åtkomst. Problemet här är att dessa instanser saknar de olika behörighetsnivåerna som finns hos andra molnleverantörer. Detta innebär att hackare som får inloggningsuppgifter för att komma åt en målinstans kan göra det via SSH utan att i förväg installera en eskalering av behörighetsattacker.

"I den här situationen har hotaktören högsta möjliga behörighet vid kompromiss, inklusive exploatering av sårbarheter, eventuella felkonfigurationsproblem, svaga referenser eller dataläckage", sa forskare.

Detta gör det möjligt att distribuera avancerade nyttolaster, såsom rootkits för kärnmoduler och att uppnå uthållighet via körande systemtjänster. "Med tanke på den här funktionen kommer det inte som någon överraskning att flera hotaktörer riktar sig mot Alibaba Cloud ECS helt enkelt genom att infoga ett kodavsnitt för att ta bort programvara som bara finns i Alibaba ECS", tillade de.

Forskare sa att när cryptojacking malware körs inuti Alibaba ECS, kommer den installerade säkerhetsagenten att skicka ett meddelande om att ett skadligt skript körs. Det är sedan upp till användaren att förhindra pågående infektion och skadliga aktiviteter. Forskare sa att det alltid är användarens ansvar att förhindra att denna infektion inträffar i första hand.

"Trots upptäckt misslyckas säkerhetsagenten med att rensa den löpande kompromissen och blir inaktiverad", tillade de. "När man tittar på ett annat prov på skadlig programvara visar det sig att säkerhetsagenten också avinstallerades innan den kunde utlösa en varning för kompromiss."

När den väl komprometteras installerar skadlig programvara en XMRig för att bryta för Monero.

Forskare sa att det var viktigt att notera att Alibaba ECS har en automatisk skalningsfunktion för att automatiskt justera datorresurser baserat på volymen av användarförfrågningar. Detta innebär att hackare också kan skala upp kryptominering och med användarna som står för kostnaderna.

"När faktureringen kommer till den ovetande organisationen eller användaren, har kryptomineraren sannolikt redan ådragit sig ytterligare kostnader. Dessutom måste de legitima prenumeranterna manuellt ta bort infektionen för att rensa infrastrukturen från kompromissen”, varnade forskare.