코드명 AMBERSQUID라는 새로운 클라우드 기반 크립토재킹 작업이 AWS Amplify, AWS Fargate 및 Amazon SageMaker와 같은 AWS(Amazon Web Services)의 특이한 제품을 대상으로 등장하여 암호화폐를 불법적으로 채굴합니다. 클라우드 및 컨테이너 보안 회사인 Sysdig는 이러한 악의적인 사이버 활동을 발견하고 이름을 AMBERSQUID로 지정했습니다.
Sysdig는 AMBERSQUID 작전이 AWS에서 추가 리소스 승인을 요구하지 않고도 클라우드 서비스를 활용할 수 있었다고 보고했습니다. 이 작업은 여러 서비스를 표적으로 삼았으며, 악용된 각 서비스에서 모든 채굴자를 찾아서 제거해야 하므로 사고 대응에 어려움을 겪었습니다.
Sysdig는 AMBERSQUID 캠페인이 스크립트와 사용자 이름에 인도네시아어를 사용하는 것을 기반으로 인도네시아 공격자가 수행했을 가능성이 높다고 판단했습니다. Sysdig는 Docker Hub에 있는 170만 개의 이미지를 분석하여 이러한 이미지 중 일부가 행위자가 제어하는 GitHub 리포지토리에서 다운로드한 암호화폐 채굴기를 실행하고 다른 이미지는 AWS를 대상으로 하는 셸 스크립트를 실행했다는 사실을 발견했습니다.
이 작업의 중요한 요소는 AWS CodeCommit을 남용하여 다양한 서비스에서 소스로 사용되는 프라이빗 리포지토리를 생성하는 것입니다. 예를 들어 리포지토리에는 셸 스크립트가 Amplify 웹 애플리케이션을 생성한 후 암호화폐 채굴기를 시작하는 데 활용하는 AWS Amplify 애플리케이션용 소스 코드가 포함되어 있습니다.
또한 위협 행위자들은 셸 스크립트를 사용하여 AWS Fargate 및 SageMaker 인스턴스에서 크립토재킹을 수행하여 피해자에게 상당한 IT 비용을 초래했습니다. Sysdig는 모든 AWS 지역을 대상으로 확장하면 AMBERSQUID가 하루에 $10,000 이상의 손실을 발생시킬 수 있다고 추정했습니다. 사용된 지갑 주소를 분석한 결과, 공격자들은 현재까지 이미 18,300달러 이상의 수익을 올렸습니다.
인도네시아 위협 행위자가 크립토재킹 캠페인에 연루된 것은 이번이 처음은 아니지만, EC2와 같은 컴퓨팅 서비스뿐만 아니라 모든 AWS 서비스에 대한 보안 조치를 고려하는 것이 중요하다는 점을 강조합니다. AWS Amplify, AWS Fargate 및 Amazon SageMaker와 같은 일부 서비스도 컴퓨팅 리소스에 대한 액세스를 제공하므로 잠재적인 공격 대상이 됩니다.
출처: 해커 뉴스
정의:
- 크립토재킹: 암호화폐 채굴을 위해 타인의 동의나 인지 없이 타인의 컴퓨터를 무단으로 사용하는 행위.
- AWS는 다음을 증폭합니다. AWS에서 호스팅되는 확장 가능한 웹 및 모바일 애플리케이션을 구축하기 위한 개발 플랫폼입니다.
- AWS 파게이트: 기본 인프라를 관리할 필요 없이 컨테이너를 쉽게 실행할 수 있게 해주는 컨테이너용 서버리스 컴퓨팅 엔진입니다.
- 아마존 세이지메이커: 개발자와 데이터 과학자에게 기계 학습 모델을 효율적으로 구축, 교육 및 배포할 수 있는 기능을 제공하는 완전 관리형 서비스입니다.
- AWS 코드 커밋: 개발자가 안전하고 확장 가능한 Git 리포지토리를 호스팅할 수 있게 해주는 완전 관리형 소스 제어 서비스입니다.
- 암호화폐: 안전한 거래와 새로운 단위 생성 제어를 위해 암호화를 사용하는 디지털 또는 가상 화폐의 한 형태입니다.
