- 13,887
- 20
- 8 Ноя 2022
Эксперты Sysdig обнаружили новую угрозу для кибербезопасности в облачных средах.
Специалисты Sysdig Threat Research Team обнаружили новый вектор атаки, основанный на перехвате легитимных прокси-сервисов, которые позволяют людям продавать часть своей пропускной способности третьим лицам.
Исследователи Sysdig Для просмотра ссылки Войдиили Зарегистрируйся , что новый вектор атаки под названием «proxyjacking» ( проксиджекинг ) позволяет киберпреступникам зарабатывать сотни тысяч долларов в месяц в виде пассивного дохода.
По Для просмотра ссылки Войдиили Зарегистрируйся «Лаборатории Касперского», прокси-сервисы работают так: Пользователь устанавливает клиент, который создает прокси-сервер. Клиент делает интернет-соединение устройства доступным для внешней стороны – прокси-сервиса, который затем перепродает часть пропускной способности пользователя другим людям.
Технология прокси нашла применение среди пользователей, которые используют чужой IP-адрес для обхода геоблокировок или просмотра сомнительных веб-сайтов без привязки к собственному IP-адресу. Обычно, люди платят за каждый IP-адрес в зависимости от количества часов, в течение которых работает приложение.
В одной из атак, которую наблюдали исследователи Sysdig, злоумышленники скомпрометировали контейнер в облачной среде с помощью уязвимости Log4j ( Log4Shell ), а затем установили прокси-клиент, который превратил систему в прокси-сервер без ведома владельца контейнера. Затем злоумышленник продал IP-адрес скомпрометированного устройства прокси-сервису.
Как правило, атаки с использованием Log4j связаны с тем, что хакер загружает на устройство бэкдор или полезную нагрузку для криптоджекинга . Кристал Морин, инженер-исследователь угроз Sysdig, сказал, что проксиджекинг похож на криптоджекинг в том смысле, что оба они извлекают выгоду из полосы пропускания жертвы — и оба примерно одинаково выгодны для злоумышленника. Однако две атаки отличаются тем, что майнер использует ресурсы процессора, а проксиджекинг использует сетевые ресурсы, не минимально нагружая ЦП.
Морин отметил, что влияние проксиджекинга на систему незначительно: 1 ГБ сетевого трафика, распределенного в течение месяца, составляет десятки мегабайт в день — очень вероятно, что атака останется незамеченным.
<span style="font-size: 12pt;">Как работает проксиджекинг</span>
В обнаруженной атаке хакеры скомпрометировали неисправленную службу Apache Solr, работающую в инфраструктуре Kubernetes, чтобы получить контроль над контейнером в среде. Затем киберпреступники загрузили вредоносный скрипт с С2-сервера, который они разместили в папке «/tmp», чтобы получить возможность использовать скомпрометированный модуль для заработка.
Исследователи заметили, что злоумышленники пытались замести следы вредоносной активности, очистив историю и удалив загруженный бинарный файл, а также временные файлы.
<span style="font-size: 12pt;">Воздействие атак и смягчение последствий проксиджекинга</span>
По оценкам исследователей, за 24 часа работы с одного взломанного IP-адреса злоумышленник может заработать $9,60 в месяц. Специалисты отметили, что при компрометации 100 IP-адресов, киберпреступник может получить пассивный доход в размере почти $1000 в месяц.
При использовании Log4j в неисправленных системах эта цифра может быть еще выше, поскольку миллионы серверов все еще используют уязвимые версии инструмента ведения журнала, и, по данным Censys, более 23 000 из них доступны в Интернете. «Теоретически одна только уязвимость Log4j может принести злоумышленнику более $220 000 прибыли в месяц», — заявил Морин.
По словам исследователей, чтобы избежать получения огромных счетов за использование прокси, организации должны установить лимиты выставления счетов и оповещения средств проверки облачных сервисов. Компании также должны иметь правила обнаружения угроз, чтобы получать оповещения о любом внедрении и вредоносной активности, предшествующей установке прокси-клиента в корпоративной сети.
Специалисты Sysdig Threat Research Team обнаружили новый вектор атаки, основанный на перехвате легитимных прокси-сервисов, которые позволяют людям продавать часть своей пропускной способности третьим лицам.
Исследователи Sysdig Для просмотра ссылки Войди
По Для просмотра ссылки Войди
Технология прокси нашла применение среди пользователей, которые используют чужой IP-адрес для обхода геоблокировок или просмотра сомнительных веб-сайтов без привязки к собственному IP-адресу. Обычно, люди платят за каждый IP-адрес в зависимости от количества часов, в течение которых работает приложение.
В одной из атак, которую наблюдали исследователи Sysdig, злоумышленники скомпрометировали контейнер в облачной среде с помощью уязвимости Log4j ( Log4Shell ), а затем установили прокси-клиент, который превратил систему в прокси-сервер без ведома владельца контейнера. Затем злоумышленник продал IP-адрес скомпрометированного устройства прокси-сервису.
Как правило, атаки с использованием Log4j связаны с тем, что хакер загружает на устройство бэкдор или полезную нагрузку для криптоджекинга . Кристал Морин, инженер-исследователь угроз Sysdig, сказал, что проксиджекинг похож на криптоджекинг в том смысле, что оба они извлекают выгоду из полосы пропускания жертвы — и оба примерно одинаково выгодны для злоумышленника. Однако две атаки отличаются тем, что майнер использует ресурсы процессора, а проксиджекинг использует сетевые ресурсы, не минимально нагружая ЦП.
Морин отметил, что влияние проксиджекинга на систему незначительно: 1 ГБ сетевого трафика, распределенного в течение месяца, составляет десятки мегабайт в день — очень вероятно, что атака останется незамеченным.
<span style="font-size: 12pt;">Как работает проксиджекинг</span>
В обнаруженной атаке хакеры скомпрометировали неисправленную службу Apache Solr, работающую в инфраструктуре Kubernetes, чтобы получить контроль над контейнером в среде. Затем киберпреступники загрузили вредоносный скрипт с С2-сервера, который они разместили в папке «/tmp», чтобы получить возможность использовать скомпрометированный модуль для заработка.
Исследователи заметили, что злоумышленники пытались замести следы вредоносной активности, очистив историю и удалив загруженный бинарный файл, а также временные файлы.
<span style="font-size: 12pt;">Воздействие атак и смягчение последствий проксиджекинга</span>
По оценкам исследователей, за 24 часа работы с одного взломанного IP-адреса злоумышленник может заработать $9,60 в месяц. Специалисты отметили, что при компрометации 100 IP-адресов, киберпреступник может получить пассивный доход в размере почти $1000 в месяц.
При использовании Log4j в неисправленных системах эта цифра может быть еще выше, поскольку миллионы серверов все еще используют уязвимые версии инструмента ведения журнала, и, по данным Censys, более 23 000 из них доступны в Интернете. «Теоретически одна только уязвимость Log4j может принести злоумышленнику более $220 000 прибыли в месяц», — заявил Морин.
По словам исследователей, чтобы избежать получения огромных счетов за использование прокси, организации должны установить лимиты выставления счетов и оповещения средств проверки облачных сервисов. Компании также должны иметь правила обнаружения угроз, чтобы получать оповещения о любом внедрении и вредоносной активности, предшествующей установке прокси-клиента в корпоративной сети.
- Источник новости
- www.securitylab.ru
