ハッカーがAlibabaCloud Elastic Computing Service（ECS）インスタンスを攻撃して、新しい暗号ジャックキャンペーンでMonero暗号通貨をマイニングしていることが判明しました。

トレンドマイクロのセキュリティ研究者は、サイバー犯罪者がクラウドインスタンスのセキュリティ機能を無効にして、暗号通貨をマイニングできるようにしていることを発見しました。

ECSインスタンスには、ハッカーが侵害されたときにアンインストールしようとするセキュリティエージェントがプリインストールされています。研究者は、マルウェアの特定のコードが、内部のアリババのゾーンとリージョンに属するIP範囲からの着信パケットをドロップするファイアウォールルールを作成したと述べました。

これらのデフォルトのAlibabaECSインスタンスは、ルートアクセスも提供します。ここでの問題は、これらのインスタンスに他のクラウドプロバイダーに見られるさまざまな特権レベルがないことです。つまり、ログイン資格情報を取得してターゲットインスタンスにアクセスするハッカーは、事前に特権攻撃の昇格を行うことなく、SSH経由でアクセスできます。

「この状況では、脅威の攻撃者は、脆弱性の悪用、設定ミスの問題、脆弱な資格情報、データ漏洩など、侵害時に可能な限り最高の特権を持っています」と研究者は述べています。

これにより、カーネルモジュールルートキットなどの高度なペイロードを有効にし、実行中のシステムサービスを介して永続性を実現できます。 「この機能があれば、AlibabaECSでのみ見つかったソフトウェアを削除するためのコードスニペットを挿入するだけで複数の脅威アクターがAlibabaCloudECSを標的にするのは当然のことです」と彼らは付け加えました。

研究者によると、Alibaba ECS内でクリプトジャッキングマルウェアが実行されている場合、インストールされているセキュリティエージェントは悪意のあるスクリプトが実行されているという通知を送信します。その後、進行中の感染や悪意のある活動を防ぐのはユーザーの責任です。研究者は、そもそもこの感染を防ぐのは常にユーザーの責任であると述べました。

「検出にもかかわらず、セキュリティエージェントは実行中の侵害をクリーンアップできず、無効になります」と彼らは付け加えました。 「別のマルウェアサンプルを見ると、セキュリティエージェントも、侵害のアラートをトリガーする前にアンインストールされたことがわかります。」

侵害されると、マルウェアはXMRigをインストールしてMoneroをマイニングします。

研究者は、Alibaba ECSには、ユーザーリクエストの量に基づいてコンピューティングリソースを自動的に調整する自動スケーリング機能があることに注意することが重要であると述べました。これは、ハッカーが暗号マイニングをスケールアップし、ユーザーがコストを負担できることを意味します。

「請求が無意識の組織またはユーザーに届くまでに、クリプトマイナーはすでに追加費用を負担している可能性があります。さらに、正当な加入者は、侵害のインフラストラクチャをクリーンアップするために手動で感染を除去する必要があります」と研究者は警告しました。