Kryptojackers deaktivieren Alibaba Cloud Security Agent

  • Sicherheitsexperten haben davor gewarnt, dass Bedrohungsakteure die Infrastruktur der Alibaba Cloud (Aliyun) kompromittieren, um Malware zum Schürfen von Kryptowährungen einzusetzen.

    Der chinesische Tech-Gigant ist eine beliebte Wahl für Infrastructure-as-a-Service (IaaS) in Südostasien. Das Cybersicherheitssoftware-Unternehmen Trend Micro warnte jedoch, dass seine Elastic Computing Service (ECS)-Instanzen auch ein immer häufigeres Ziel für finanziell motivierte Hacker sind.

    Dem Bericht zufolge haben es diese Gruppen auf mehrere Funktionen der Plattform abgesehen, um ihre Erfolgschancen zu erhöhen.

    Obwohl Alibaba ECS mit einem Sicherheitsagenten ausgestattet ist, können einige Akteure diesen bei einer Kompromittierung deinstallieren oder deaktivieren. Selbst wenn er noch läuft und ein bösartiges Skript erkennt, liegt es in der Verantwortung des Kunden, Maßnahmen zu ergreifen, so Trend Micro. Kunden müssen darauf achten, das Produkt richtig zu konfigurieren, da die Standardinstanz von Alibaba ECS Root-Zugriff gewährt.

    “In dieser Situation hat der Bedrohungsakteur nach der Kompromittierung die höchstmöglichen Privilegien, einschließlich der Ausnutzung einer Schwachstelle, eines Fehlkonfigurationsproblems, schwacher Anmeldedaten oder eines Datenverlusts. So können fortgeschrittene Nutzlasten wie Kernel-Modul-Rootkits und das Erreichen von Persistenz über laufende Systemdienste eingesetzt werden”, schreiben die Forscher.

    “Angesichts dieser Funktion überrascht es nicht, dass mehrere Bedrohungsakteure auf Alibaba Cloud ECS abzielen, indem sie einfach einen Codeschnipsel zum Entfernen von Software einfügen, die nur in Alibaba ECS gefunden wird.”

    Alibaba ECS verfügt auch über eine automatische Skalierungsfunktion, die die Rechenressourcen automatisch an das Volumen der Nutzeranfragen anpasst. Dies kann jedoch im Hintergrund zusätzliche Kosten für die Kunden verursachen, wenn es von Kryptomining-Malware ausgenutzt wird.

    Trend Micro stellte fest, dass die Beliebtheit von Alibaba Cloud und anderen regionalen Anbietern wie Huawei Cloud unter den Bedrohungsakteuren so groß ist, dass Angreifer beobachtet wurden, die ihre Konkurrenten aus der kompromittierten Infrastruktur entfernen.

    Der Sicherheitsanbieter forderte die Kunden auf:

    • Den CSP-Schutz mit eigenen Tools von Drittanbietern zum Scannen von Malware und zur Erkennung von Schwachstellen zu verbessern.
    • Anwendung des Prinzips der geringsten Privilegien.
    • Anpassen der Sicherheitsmerkmale von Cloud-Projekten und -Workloads.

    Der Bericht behauptet, Alibaba um eine Antwort auf seine Feststellungen gebeten zu haben, aber zum Zeitpunkt der Veröffentlichung lag noch keine Antwort vor.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com