Команда разведки угроз Netlify обнаружила кампанию по добыче криптомайнеров, нацеленную на индустрию SaaS. Кампания ориентировалась на добычу криптовалют, оптимизированных для майнинга на процессоре, и использовала облачную SaaS-инфраструктуру.
Описание
Их целью было поделиться деталями этой кампании с сообществом информационной безопасности и позволить компаниям укрепить защиту от таких атак. Кампания проходила в несколько волн активности, начиная с сентября 2024 года и достигая пика в начале октября. Было выяснено, что кампания использовала семь активных кошельков и добыла около $6 500 криптовалюты.
В ходе кампании использовались семь репозиториев для загрузки и выполнения двоичных файлов криптомайнинга на целевых системах. Этапы выполнения кампании неоднократно менялись, чтобы избежать обнаружения. В конечном итоге кампания сводилась к загрузке и запуску двоичных файлов криптомайнера с параметрами, указывающими на кошельки и IP-адреса, связанные с кампанией. В течение кампании использовалось различное количество этапов. Обнаружено более 3200 адресов электронной почты, связанных с кампанией, и большая часть из них связана с шестью пользовательскими доменными именами.
Официальные адреса электронной почты относились к различным блокам IP-адресов, включая облачных провайдеров и сети Microsoft. В ходе кампании добылось около $6 500 криптовалюты. Расходы на облачные вычисления для кампании могли достигать $20 000 - $30 000 в месяц. Кампания использовала криптовалюты, предназначенные для майнинга на процессоре - VerusCoin, TideCoin и Sugarchain. Злоумышленникам удалось избежать обнаружения и провести атаки на облачные вычислительные ресурсы жертв. Это возможно благодаря тому, что многие облачные платформы предлагают бесплатные тарифные планы с ограниченным доступом к ресурсам.
Обнаруженные кошельки были связаны с различными криптовалютами, и на момент написания статьи в декабре 2024 года было добыто около $6 500 криптовалюты. Анализ этой кампании позволяет понять, как злоумышленники используют SaaS-инфраструктуру для добычи криптовалюты на процессоре и какие методы они применяют для избегания обнаружения. Эта информация поможет компаниям улучшить свою безопасность и защиту от подобных атак.
Indicators of Compromise
IPv4
- 178.128.218.13
- 47.236.252.96
- 8.215.4.141
- 8.219.2.132
Domains
- butyusa.com
- gimaul.com
- gmail.com
- gsweety.com
- gyuil.com
- outlook.com
- qmaul.com
- zaknim.com
URLs
- bitbucket.org/awrbtaehtaey/bluise
- bitbucket.org/betbeyw/titied
- bitbucket.org/dtmdtn/bluise
- bitbucket.org/oaebthoae/bluise
- gitlab.com/mantap7091041/gas
- gitlab.com/mantap7091041/node
- gitlab.com/mantap7091041/nodejs
SHA1
- 3b8821981d55d791b0283098c7c827450f69ce19
- 5b1855a378dfba329d60764788d52eba556545c7
- 86cdddf21f0b3071dcff753fd9db19012fd132f6
- d7445ca0d10b6a89cf6eeaf056081bc7daf18d26
