Les instances d'Alibaba ECS ciblées dans une nouvelle campagne de cryptojacking

Des pirates ont été découverts attaquant les instances Alibaba Cloud Elastic Computing Service (ECS) pour exploiter la crypto-monnaie Monero dans une nouvelle campagne de cryptojacking.

Les chercheurs en sécurité de Trend Micro ont découvert que des cybercriminels désactivaient les fonctions de sécurité dans les instances cloud afin qu'ils puissent extraire de la crypto-monnaie.

Les instances ECS sont livrées avec un agent de sécurité préinstallé que les pirates tentent de désinstaller en cas de compromission. Les chercheurs ont déclaré qu'un code spécifique dans le logiciel malveillant a créé des règles de pare-feu pour supprimer les paquets entrants des plages IP appartenant aux zones et régions internes d'Alibaba.

Ces instances Alibaba ECS par défaut fournissent également un accès root. Le problème ici est que ces instances n'ont pas les différents niveaux de privilège trouvés dans d'autres fournisseurs de cloud. Cela signifie que les pirates qui obtiennent des identifiants de connexion pour accéder à une instance cible peuvent le faire via SSH sans monter au préalable une attaque d'élévation de privilèges.

"Dans cette situation, l'acteur de la menace a le privilège le plus élevé possible en cas de compromission, y compris l'exploitation des vulnérabilités, tout problème de mauvaise configuration, des informations d'identification faibles ou une fuite de données", ont déclaré les chercheurs.

Cela permet de déployer des charges utiles avancées, telles que les rootkits de module de noyau et d'obtenir la persistance via l'exécution de services système. "Compte tenu de cette fonctionnalité, il n'est pas surprenant que plusieurs acteurs de la menace ciblent Alibaba Cloud ECS simplement en insérant un extrait de code pour supprimer les logiciels trouvés uniquement dans Alibaba ECS", ont-ils ajouté.

Les chercheurs ont déclaré que lorsque des logiciels malveillants de cryptojacking s'exécutent dans Alibaba ECS, l'agent de sécurité installé enverra une notification d'exécution d'un script malveillant. Il appartient alors à l'utilisateur d'empêcher l'infection en cours et les activités malveillantes. Les chercheurs ont déclaré qu'il est toujours de la responsabilité de l'utilisateur d'empêcher cette infection de se produire en premier lieu.

"Malgré la détection, l'agent de sécurité ne parvient pas à nettoyer le compromis en cours d'exécution et est désactivé", ont-ils ajouté. "L'examen d'un autre échantillon de logiciel malveillant montre que l'agent de sécurité a également été désinstallé avant qu'il ne puisse déclencher une alerte de compromission."

Une fois compromis, le malware installe un XMRig à exploiter pour Monero.

Les chercheurs ont déclaré qu'il était important de noter qu'Alibaba ECS dispose d'une fonctionnalité de mise à l'échelle automatique pour ajuster automatiquement les ressources informatiques en fonction du volume de demandes des utilisateurs. Cela signifie que les pirates peuvent également intensifier le cryptominage et que les utilisateurs en supportent les coûts.

"Au moment où la facturation arrive à l'organisation ou à l'utilisateur involontaire, le cryptomineur a probablement déjà engagé des coûts supplémentaires. De plus, les abonnés légitimes doivent supprimer manuellement l'infection pour nettoyer l'infrastructure du compromis », ont averti les chercheurs.