Новости Сотни тысяч долларов в месяц: проксиджекинг стал прибыльным бизнесом для киберпреступников

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Эксперты Sysdig обнаружили новую угрозу для кибербезопасности в облачных средах.


588ed7cbsqcfhxxeureaytej0hhv5xs6.jpg


Специалисты Sysdig Threat Research Team обнаружили новый вектор атаки, основанный на перехвате легитимных прокси-сервисов, которые позволяют людям продавать часть своей пропускной способности третьим лицам.

Исследователи Sysdig Для просмотра ссылки Войди или Зарегистрируйся , что новый вектор атаки под названием «proxyjacking» ( проксиджекинг ) позволяет киберпреступникам зарабатывать сотни тысяч долларов в месяц в виде пассивного дохода.

По Для просмотра ссылки Войди или Зарегистрируйся «Лаборатории Касперского», прокси-сервисы работают так: Пользователь устанавливает клиент, который создает прокси-сервер. Клиент делает интернет-соединение устройства доступным для внешней стороны – прокси-сервиса, который затем перепродает часть пропускной способности пользователя другим людям.

Технология прокси нашла применение среди пользователей, которые используют чужой IP-адрес для обхода геоблокировок или просмотра сомнительных веб-сайтов без привязки к собственному IP-адресу. Обычно, люди платят за каждый IP-адрес в зависимости от количества часов, в течение которых работает приложение.

В одной из атак, которую наблюдали исследователи Sysdig, злоумышленники скомпрометировали контейнер в облачной среде с помощью уязвимости Log4j ( Log4Shell ), а затем установили прокси-клиент, который превратил систему в прокси-сервер без ведома владельца контейнера. Затем злоумышленник продал IP-адрес скомпрометированного устройства прокси-сервису.

Как правило, атаки с использованием Log4j связаны с тем, что хакер загружает на устройство бэкдор или полезную нагрузку для криптоджекинга . Кристал Морин, инженер-исследователь угроз Sysdig, сказал, что проксиджекинг похож на криптоджекинг в том смысле, что оба они извлекают выгоду из полосы пропускания жертвы — и оба примерно одинаково выгодны для злоумышленника. Однако две атаки отличаются тем, что майнер использует ресурсы процессора, а проксиджекинг использует сетевые ресурсы, не минимально нагружая ЦП.

Морин отметил, что влияние проксиджекинга на систему незначительно: 1 ГБ сетевого трафика, распределенного в течение месяца, составляет десятки мегабайт в день — очень вероятно, что атака останется незамеченным.

<span style="font-size: 12pt;">Как работает проксиджекинг</span>

В обнаруженной атаке хакеры скомпрометировали неисправленную службу Apache Solr, работающую в инфраструктуре Kubernetes, чтобы получить контроль над контейнером в среде. Затем киберпреступники загрузили вредоносный скрипт с С2-сервера, который они разместили в папке «/tmp», чтобы получить возможность использовать скомпрометированный модуль для заработка.

Исследователи заметили, что злоумышленники пытались замести следы вредоносной активности, очистив историю и удалив загруженный бинарный файл, а также временные файлы.

<span style="font-size: 12pt;">Воздействие атак и смягчение последствий проксиджекинга</span>

По оценкам исследователей, за 24 часа работы с одного взломанного IP-адреса злоумышленник может заработать $9,60 в месяц. Специалисты отметили, что при компрометации 100 IP-адресов, киберпреступник может получить пассивный доход в размере почти $1000 в месяц.

При использовании Log4j в неисправленных системах эта цифра может быть еще выше, поскольку миллионы серверов все еще используют уязвимые версии инструмента ведения журнала, и, по данным Censys, более 23 000 из них доступны в Интернете. «Теоретически одна только уязвимость Log4j может принести злоумышленнику более $220 000 прибыли в месяц», — заявил Морин.

По словам исследователей, чтобы избежать получения огромных счетов за использование прокси, организации должны установить лимиты выставления счетов и оповещения средств проверки облачных сервисов. Компании также должны иметь правила обнаружения угроз, чтобы получать оповещения о любом внедрении и вредоносной активности, предшествующей установке прокси-клиента в корпоративной сети.
 
Источник новости
www.securitylab.ru

Похожие темы