07/04/23
Специалисты Sysdig Threat Research Team обнаружили новый вектор атаки, основанный на перехвате легитимных прокси-сервисов, которые позволяют людям продавать часть своей пропускной способности третьим лицам.
Исследователи Sysdig заявили, что новый вектор атаки под названием «proxyjacking» (проксиджекинг) позволяет киберпреступникам зарабатывать сотни тысяч долларов в месяц в виде пассивного дохода. Об этом пишет Securitylab.
По данным «Лаборатории Касперского», прокси-сервисы работают так: Пользователь устанавливает клиент, который создает прокси-сервер. Клиент делает интернет-соединение устройства доступным для внешней стороны – прокси-сервиса, который затем перепродает часть пропускной способности пользователя другим людям.
Технология прокси нашла применение среди пользователей, которые используют чужой IP-адрес для обхода геоблокировок или просмотра сомнительных веб-сайтов без привязки к собственному IP-адресу. Обычно, люди платят за каждый IP-адрес в зависимости от количества часов, в течение которых работает приложение.
В одной из атак, которую наблюдали исследователи Sysdig, злоумышленники скомпрометировали контейнер в облачной среде с помощью уязвимости Log4j (Log4Shell), а затем установили прокси-клиент, который превратил систему в прокси-сервер без ведома владельца контейнера. Затем злоумышленник продал IP-адрес скомпрометированного устройства прокси-сервису.
Как правило, атаки с использованием Log4j связаны с тем, что хакер загружает на устройство бэкдор или полезную нагрузку для криптоджекинга. Кристал Морин, инженер-исследователь угроз Sysdig, сказал, что проксиджекинг похож на криптоджекинг в том смысле, что оба они извлекают выгоду из полосы пропускания жертвы — и оба примерно одинаково выгодны для злоумышленника. Однако две атаки отличаются тем, что майнер использует ресурсы процессора, а проксиджекинг использует сетевые ресурсы, не минимально нагружая ЦП.
Морин отметил, что влияние проксиджекинга на систему незначительно: 1 ГБ сетевого трафика, распределенного в течение месяца, составляет десятки мегабайт в день — очень вероятно, что атака останется незамеченным.
Как работает проксиджекинг
В обнаруженной атаке хакеры скомпрометировали неисправленную службу Apache Solr, работающую в инфраструктуре Kubernetes, чтобы получить контроль над контейнером в среде. Затем киберпреступники загрузили вредоносный скрипт с С2-сервера, который они разместили в папке «/tmp», чтобы получить возможность использовать скомпрометированный модуль для заработка.
Исследователи заметили, что злоумышленники пытались замести следы вредоносной активности, очистив историю и удалив загруженный бинарный файл, а также временные файлы.
Воздействие атак и смягчение последствий проксиджекинга
По оценкам исследователей, за 24 часа работы с одного взломанного IP-адреса злоумышленник может заработать $9,60 в месяц. Специалисты отметили, что при компрометации 100 IP-адресов, киберпреступник может получить пассивный доход в размере почти $1000 в месяц.
При использовании Log4j в неисправленных системах эта цифра может быть еще выше, поскольку миллионы серверов все еще используют уязвимые версии инструмента ведения журнала, и, по данным Censys, более 23 000 из них доступны в Интернете. «Теоретически одна только уязвимость Log4j может принести злоумышленнику более $220 000 прибыли в месяц», — заявил Морин.
По словам исследователей, чтобы избежать получения огромных счетов за использование прокси, организации должны установить лимиты выставления счетов и оповещения средств проверки облачных сервисов. Компании также должны иметь правила обнаружения угроз, чтобы получать оповещения о любом внедрении и вредоносной активности, предшествующей установке прокси-клиента в корпоративной сети.
