脅威アクターがAlibabaCloudサービスを悪用

トレンドマイクロのセキュリティ研究者は、Aliyunとして知られるAlibabaのクラウドコンピューティングサービスに対する攻撃が観察されたと報告しています。

トレンドマイクロによると、ハッカーは中国の電子商取引の巨人の個別のインスタンスを改ざんして無効にし、不正な暗号マイニングのために侵害されたシステムを悪用しています。

攻撃で使用されたカスタムマルウェアは、Alibabaエラスティックコンピューティングサービスの健全性と安全性を維持するためのセキュリティソフトウェアを改ざんします。このマルウェアは、カスタムコードを使用して、ターゲットシステムに新しいファイアウォールルールを挿入し、サーバーのIPテーブルを再構成して、「内部のAlibabaゾーンおよびリージョン」から発信されたパケットを完全にドロップします。

調査したマルウェアサンプルの一部では、クラウドセキュリティソフトウェアが実行中の悪意のあるスクリプトを特定しようとしますが、改ざんの結果、それが失敗し、代わりにシャットダウンされます。別のサンプルでは、マルウェアは、不正なスクリプトを検出してアラートを送信する前に、セキュリティエージェントのアンインストールをトリガーしただけです。

さらに悪いことに、Alibaba Elastic Cloud Computingインスタンスのデフォルト構成では、ルートアクセスが許可されています。トレンドマイクロは、他のクラウドサービスプロバイダーは通常、ユーザーがデフォルト設定で直接SSHログインを使用することを許可していないと説明しています。アリババのクラウドを使用すると、すべてのユーザーが仮想マシン内のルートアクセスユーザーにパスワードを与えることができます。

これは基本的に、他のクラウドシステムでは、悪意のある攻撃者がすでにログインクレデンシャルを持っている場合でも、昇格された特権を取得するためにかなり努力する必要があることを意味しますが、Alibabaのクラウドインスタンスの場合はそうではありません。

アリババのクラウドサービスには、需要に応じた自動スケーリングのオプションも含まれています。これは、攻撃者が暗号マイニングマルウェアを限界まで押し込み、自動的に割り当てられたクラウドから重要なリソースを奪う可能性があることを意味します。もちろん、オーバーヘッドリソースは利用可能ですが、特定のしきい値を超えるとコストがかかるため、これにより、侵害されたバケットの正当なユーザーに多額の請求が蓄積されることにもなります。

この場合、トレンドマイクロが提供するアドバイスの要点は、クラウドコンピューティングサービスをレンタルする人は、時間をかけてチームに使用するシステムの詳細とそのデフォルトの実装を理解してから、時間をかけて次のように構成する必要があるということです。可能な限り安全です。