Seiring dengan semakin populernya komputasi cloud native, risiko yang ditimbulkan oleh penjahat terhadap keamanan siber juga kian meningkat. Salah satu metode yang baru ditemukan menargetkan layanan pada platform AWS, namun belum tentu sesuai dengan apa yang Anda bayangkan.
Para peneliti dari Sysdig Threat Research Team (TRT) telah menemukan operasi cryptojacking yang dijuluki AMBERSQUID, yang tidak secara langsung menargetkan instans EC2 yang akan memicu persetujuan untuk lebih banyak sumber daya.
Sebaliknya, menurut para peneliti, serangan ini ditujukan untuk layanan yang tidak banyak digunakan, seperti AWS Amplify, AWS Fargate, dan AWS Sagemaker.
Para peneliti mengatakan: “Sifat yang tidak biasa dari layanan ini berarti bahwa mereka sering diabaikan dari sudut pandang keamanan, dan operasi AMBERSQUID dapat merugikan korban lebih dari $10.000 per hari.”
AMBERSQUID ditemukan setelah lebih dari 1,7 juta image Linux dianalisis. Pemindaian statis pada umumnya tidak menunjukkan masalah apa pun karena aktivitas jahat baru diketahui saat container dijalankan.
Kontainer asli yang memicu penyelidikan ditemukan di Docker Hub, dan banyak akun dimulai hanya dengan image kontainer dasar yang menjalankan cryptominer. Para peneliti mencatat: “Namun, mereka akhirnya beralih ke layanan khusus AWS.”
Serangan tersebut terdiri dari serangkaian skrip untuk menjalankan layanan seperti Amplify, CodeBuild, Sagemaker, dan ECS dengan tujuan menggunakan sumber daya komputasi yang ditawarkan untuk menambang mata uang kripto.
Biaya yang harus dikeluarkan bisa sangat besar, tergantung pada jumlah sumber daya yang dapat dimanfaatkan oleh penyerang. Para peneliti mengatakan: “Untuk pertama kalinya, kami menemukan penyerang menyalahgunakan AWS Amplify untuk cryptojacking.”
AWS Amplify adalah platform pengembangan yang memungkinkan pengembang membangun dan menerapkan aplikasi web dan seluler yang dapat diskalakan. Karena ini membuka kerangka kerja yang memungkinkan aplikasi berintegrasi dengan layanan lain di platform AWS, ini juga menyediakan jalan praktis bagi penyerang untuk mengakses sumber daya komputasi yang diperlukan untuk penambangan kripto.
Peneliti menduga, meski belum bisa memastikan, operasi tersebut berasal dari penyerang Indonesia karena penggunaan bahasa Indonesia pada skrip dan nama pengguna.
Penggabungan layanan-layanan yang tidak umum dalam serangan tersebut merupakan hal yang baru. Meskipun EC2 merupakan target yang sudah diketahui, para peneliti mendesak tim keamanan untuk mengingat bahwa layanan lain juga menyediakan akses meskipun tidak langsung untuk menghitung sumber daya, yang berarti bahwa deteksi ancaman harus dilakukan seluas mungkin.
Jika deteksi ancaman tidak memungkinkan, maka tingkat logging yang lebih tinggi adalah suatu keharusan.
Artikel Terkait
Secoda Amankan Pendanaan Senilai $14 Juta Untuk Mesin Penelusuran Mirip Google
October 21, 2023
MediaTek Perkenalkan SoC Kompanio Untuk Chromebook
November 21, 2022
Google mulai berlakukan Anti Sideloading di Singapura
February 16, 2024
Nih Buat Jajan, Platform Donasi Alternatif Buy Me A Coffee
May 13, 2021
WhatsApp Akan Mengizinkan Migrasi Riwayat Obrolan Antara iPhone & Android
April 15, 2021
Oxford Science Enterprises Berhasil Menggalang Pendanaan Sebesar £250 Juta
July 25, 2022
Saran artikel ini dibuat oleh Kudatuli Project
ShopBack adalah aplikasi dan situs web yang memberikan cashback dan promo kepada pengguna yang berbelanja online