雲端系統成為加密挖礦黑客新戰場

香港 - Media OutReach - 2022年3月30日 - 全球網絡保安方案領導廠商趨勢科技（東京證券交易所股票代碼：4704 ）發表最新研究報告，指出從事惡意挖礦的黑客集團正在經常互相攻擊以搶奪資源。

參考《無形戰場：了解雲端加密貨幣挖礦》報告：https://www.trendmicro.com/vinfo/hk/security/news/cybercrime-and-digital-threats/probing-the-activities-of-cloud-based-cryptocurrency-mining-groups

趨勢科技資深威脅研究員 Stephen Hilt 指出：「短短幾個小時的入侵，就足以讓歹徒從中獲利，因此我們觀察到黑客正不斷互相攻擊以爭奪雲端 CPU 資源。這就好比一場現實版的網絡攻防搶旗賽，只是戰場改在受害者的雲端基礎架構上。對應這類威脅，企業必須擁有平台為基的全方位資訊保安方案，讓歹徒無所遁形。挑選正確的平台能幫助團隊辨識攻擊面及評估風險，也能在不增加系統管理負擔的前提下，採取適合的防護措施。」

報告顯示，越來越多黑客會尋找及利用已暴露的事件漏洞，並透過暴力破解取得 SecureShell（SSH）登入憑證，以入侵雲端資產進行挖礦。被鎖定目標的常見特徵包括在雲端環境部署的雲端軟體已經過時、雲端資訊保安環境欠佳及對維護雲端服務安全的知識不足等，令黑客更容易利用漏洞取得系統存取權限。

雲端運算投資額在疫情期間大幅增長，但部署新資產更為簡便亦令許多雲端執行個體需要更長時間才可處理，包括補丁及配置錯誤等問題，造成資訊保安缺口。

惡意挖礦造成的額外運算負苛，會影響受害機構關鍵用戶服務的效能，而每個受感染系統的運作成本也可能增加高達 6 倍。

挖礦攻擊也可能導致更嚴重的入侵事件。許多技巧熟練的黑客會先植入挖礦程式來賺取收益，然後再將登入憑證賣給網上買家來發動勒索程式攻擊及竊取資料等惡意行動。

趨勢科技研究報告針對多個瞄準雲端的黑客組織並深入分析其犯罪活動，包括：

Outlaw：專門利用已知弱點或 SSH 暴力破解，入侵物聯網裝置與 Linux 雲端伺服器。

TeamTNT：會先利用軟件漏洞來入侵主機，隨後竊取其他服務的登入憑證，藉此進入新主機、利用任何錯誤配置的服務。

Kinsing：會植入挖掘門羅幣（Monero）的 XMRig 程式，並將其他挖礦程式踢出受害系統。

8220：資料顯示 8220 長期與 Kinsing 爭奪同樣資源。兩者會經常將對方擠出主機，之後安裝自己的加密貨幣挖礦程式。

Kek Security：與物聯網惡意程式及殭屍網絡服務有關。

避免黑客鎖定雲端進行挖礦攻擊及降低資訊保安風險，趨勢科技建議企業機構採取下列措施：

• 確保系統為最新狀態，並且只運行必要服務
• 部署防火牆、IDS/IPS 與雲端用戶端防護方案，藉此限制及過濾與已知有問題主機的網絡流量
• 透過雲端安全狀態管理（Cloud Security Posture Management）工具消除配置錯誤
• 監控往來雲端執行個體的流量，過濾與已知礦池有關的網域
• 訂定資訊保安政策，以成本角度監控開放連接埠、DNS 路由變更與 CPU 資源使用情況