印度尼西亚云原生加密劫持新行动

关键要点

• 印度尼西亚的新加密劫持行动 AMBERSQUID 专门针对了少量使用的亚马逊网络服务 (AWS) 产品，如 AWS Fargate 、AWS Amplify 及 Amazon SageMaker 。
• 此次攻击通过利用 EC2 实例 ，绕过了在 AWS 中请求额外资源所需的批准。
• 攻击者利用 AWS CodeCommit 创建了包含 AWS Amplify 应用源代码的私有库，随后利用 shell 脚本部署加密矿工。
• 研究人员估计，这类攻击可能导致每天损失超过 $10,000 ，如果覆盖所有 AWS 区域的话。
• 这次攻击发生在几个月前，印度尼西亚的威胁行为者 GUI-vil 被报道通过 AWS Elastic Compute Cloud 进行加密挖掘活动，虽然 Sysdig 的威胁研究总监 Michael Clark 指出 AMBERSQUID 与 GUI-vil 之间没有显著重叠。

根据 的报道，AMBERSQUID 选择了 AWS的不常用服务进行加密挖掘活动，好在相关服务较少受到监控。具体来说，利用 EC2 实例的垃圾邮件行为，使 AMBERSQUID无需请求额外的资源批准便可执行云服务的滥用，Sysdig 的报告对此进行了详细分析。

攻击的主要手段之一是利用 AWS CodeCommit，通过创建一个私人代码库来储存 AWS Amplify 应用程序的源代码。接着，驾驶员用 shell脚本自动部署了加密矿工。针对 Amazon SageMaker 和 AWS Fargate 的加密劫持也采用了类似的 shell脚本手法，展现了攻击者在不同平台上灵活进行操作的能力。

根据研究，如果这类攻击扩展到所有 AWS 区域，损失预计将达到每天超过 $10,000 。尽管 AMBERSQUID 的攻击步骤与之前的 GUI- vil 跨区域活动有所重叠，但 Sysdig 的研究指出，两者之间并无直接的关联或重叠。

相关链接

以上信息提醒用户在使用云服务时要保持警惕，并对资源使用情况进行持续监控，以避免成为潜在攻击的目标。