Operasi Cryptojacking AMBERSQUID Terbaru Targetkan Layanan AWS yang Tidak Biasa

The Hacker News

Cyberthreat.id - Operasi pembajakan kripto berbasis cloud yang baru telah mengincar penawaran Amazon Web Services (AWS) yang tidak biasa seperti AWS Amplify, AWS Fargate, dan Amazon SageMaker untuk menambang mata uang kripto secara ilegal.

Aktivitas siber berbahaya ini diberi nama sandi AMBERSQUID oleh perusahaan keamanan cloud dan container Sysdig.

“Operasi AMBERSQUID mampu mengeksploitasi layanan cloud tanpa memicu persyaratan AWS untuk mendapatkan lebih banyak sumber daya, seperti yang akan terjadi jika mereka hanya mengirim spam ke instans EC2,” kata peneliti keamanan Sysdig, Alessandro Brucato, dalam laporan yang dibagikan kepada The Hacker News.

“Menargetkan beberapa layanan juga menimbulkan tantangan tambahan, seperti respons terhadap insiden, karena hal ini memerlukan pencarian dan pembunuhan semua penambang di setiap layanan yang dieksploitasi.”

Sysdig mengatakan pihaknya menemukan kampanye tersebut setelah melakukan analisis terhadap 1,7 juta gambar di Docker Hub, dan mengatribusikannya dengan keyakinan sedang kepada penyerang Indonesia berdasarkan penggunaan bahasa Indonesia dalam skrip dan nama pengguna.

“Beberapa dari gambar ini dirancang untuk mengeksekusi penambang mata uang kripto yang diunduh dari repositori GitHub yang dikontrol aktor, sementara gambar lainnya menjalankan skrip shell yang menargetkan AWS,” tulis The Hacker News.

Karakteristik utamanya adalah penyalahgunaan AWS CodeCommit, yang digunakan untuk menghosting repositori Git pribadi, untuk "menghasilkan repositori pribadi yang kemudian digunakan di berbagai layanan sebagai sumber."

Repositori berisi kode sumber aplikasi AWS Amplify yang, pada gilirannya, dimanfaatkan oleh skrip shell untuk membuat aplikasi web Amplify dan pada akhirnya meluncurkan penambang mata uang kripto.

Pelaku ancaman juga terlihat menggunakan skrip shell untuk melakukan cryptojacking di instans AWS Fargate dan SageMaker, sehingga menimbulkan biaya komputasi yang signifikan bagi para korbannya.

Sysdig memperkirakan bahwa AMBERSQUID dapat mengakibatkan kerugian lebih dari $10.000 per hari jika diskalakan untuk menargetkan seluruh wilayah AWS. Analisis lebih lanjut terhadap alamat dompet yang digunakan mengungkapkan bahwa penyerang telah memperoleh pendapatan lebih dari $18,300 hingga saat ini.

Ini bukan pertama kalinya pelaku ancaman di Indonesia dikaitkan dengan kampanye cryptojacking. Pada Mei 2023, Permiso P0 Labs merinci seorang aktor bernama GUI-vil yang terlihat memanfaatkan instans Amazon Web Services (AWS) Elastic Compute Cloud (EC2) untuk melakukan operasi penambangan kripto.

“Meskipun sebagian besar penyerang yang bermotivasi finansial menargetkan layanan komputasi, seperti EC2, penting untuk diingat bahwa banyak layanan lain juga menyediakan akses ke sumber daya komputasi (walaupun secara tidak langsung),” kata Brucato kepada The Hacker News.

“Layanan ini mudah diabaikan dari sudut pandang keamanan karena visibilitasnya lebih sedikit dibandingkan dengan yang tersedia melalui deteksi ancaman runtime.”[]