Криптомайнеры внедряют вредоносный код в образы AMI

Криптомайнеры внедряют вредоносный код в образы AMI

Пользователям установок EC2, использующих общие AMI, рекомендуется проверять их на наличие вредоносного кода.

ИБ-эксперты из компании Mitiga предупредили о потенциальном векторе атак, связанном с сервисами Amazon Web Services и площадкой AWS Marketplace, предлагающей предварительно сконфигурированные виртуальные серверы. Речь идет об атаках, в которых злоумышленники распространяют вредоносные образы общих AMI (Community Amazon Machine Image) через AWS Marketplace.

Один из таких случаев специалисты обнаружили, когда изучали машины на базе Windows 2008 Server в рамках расследования инцидента в некой финансовой компании. Они заметили, что устройство использовало значительно больше ресурсов, чем требовалось. Более тщательный анализ показал наличие активного майнера криптовалюты Monero, внедренного в образ общего AMI, используемого для создания экземпляра Elastic Cloud Compute (EC2), что позволило злоумышленникам зарабатывать за счет организации.

Как отмечают эксперты, крупные компании могут и не обратить внимание на дополнительные издержки, поскольку расходы, связанные с аккаунтом в Amazon, могут достигать сотни тысяч долларов.

По словам исследователей, вредоносный образ был удален с серверов клиента компании, но все еще доступен на AWS Marketplace.

«Проблема заключается не в том, что клиент делает что-то неправильно, а в Community AMI и отсутствии проверок и балансирования. Любой человек может создать образ и разместить его в библиотеке Community AMI, включая вредоносные», - отметил специалист Mitiga Офер Маор (Ofer Maor).

Примечательно, что подобные атаки могут использоваться не только для внедрения программ для добычи криптовалюты, но и бэкдоров и вымогательского ПО.


В нашем Телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на жизнь людей.