Специалисты Netlify выявили масштабную кампанию по злоупотреблению облачной инфраструктурой для скрытого майнинга криптовалют. Злоупотребление длилось с сентября по ноябрь 2024 года и затронуло множество облачных сервисов, включая Microsoft, ProtonVPN и другие провайдеры. Злоумышленники использовали тысячи поддельных аккаунтов, распределённых по сотням доменов и IP-адресов, для получения бесплатных вычислительных мощностей, пишут СМИ.
По данным исследователей, атака основывалась на загрузке и выполнении вредоносных майнинговых бинарных файлов, работающих с криптовалютами, ориентированными на майнинг с помощью CPU. Первоначально злоумышленники добывали TideCoin, затем переключились на VerusCoin. За все время кампании было использовано семь кошельков, на которые переведено криптовалюты на сумму около 6500 долларов. Однако с учётом затрат на облачные мощности ущерб для сервисов оценивается в десятки тысяч долларов.
Хакеры активно использовали методы обхода обнаружения, меняя стратегии выполнения кода. Всего выявлено не менее восьми вариаций исполнения вредоносных скриптов, которые загружались через CI/CD-инструменты и выполнялись с серверов облачных провайдеров. Наибольшее количество вредоносных учётных записей было зарегистрировано с IP-адресов Microsoft Cloud (более 2400 случаев), а также Telkom Indonesia, ProtonVPN и Datacamp.
Специалисты Netlify выяснили, что злоумышленники применяли тактику массовой регистрации аккаунтов с использованием шаблона email-адресов, в котором использовались техники «Plus Addressing» и «Subdomain Addressing». Всего было обнаружено более 3200 таких адресов, однако основной массив создавался на шести частных доменах, зарегистрированных в 2023-2024 годах.
Технический анализ показал, что атака велась через Bitbucket и GitLab, где размещались скрипты для загрузки и выполнения вредоносного ПО. При этом в качестве серверов для майнинга использовались адреса в сетях Alibaba Cloud, DigitalOcean и других. Всего обнаружено четыре IP-адреса, участвовавших в атаке.
Эксперты Netlify подчёркивают, что данная кампания началась ещё в 2021 году, но в последние месяцы резко активизировалась. Хакеры явно нацеливались на SaaS-индустрию, пользуясь бесплатными облачными ресурсами. Организациям рекомендуется усилить мониторинг активности в облаке, анализировать исходящий трафик и блокировать подозрительные IP-адреса, связанные с этой кампанией.
