• 發布單位:TWCERT/CC
• 更新日期:2022-11-01
• 點閱次數:156

資安廠商 Sysdig 旗下的資安研究人員，日前發現一場進行中的大型加密貨幣挖礦攻擊活動，濫用各種網路免費資源如 Github、Heroku、Buddy 等服務，用來進行挖礦。

這波攻擊活動以化整為零的方式，在多個雲端運算服務註冊免費使用帳號，利用這些服務提供的免費資源來進行加密貨幣挖礦運算；雖然每個免費帳號能挖到的加密貨幣為數可能不多，但累積起來就是一筆可觀的數字。

據 Sysdig 的報告表示，發動這波挖礦惡意攻擊的駭侵團體稱為「紫海膽」(Purpleurchin)，觀察到的每日函數呼叫高達 100 萬次以上；這波攻擊在 GitHub 申請了 300 個帳號、Heroku 為 2,000 個、Buddy.work 也有 900 個帳號。

報告指出，這些帳號是以程式控制，全自動輪流使用，以含有挖礦專用容器的 130 個  Docker Hub 映像檔隨時切換，用以防範遭到系統偵測停用。

駭侵者設計了能自動註冊新 GitHub 帳號的 shell script，透過 OpenVPN 和 Namecheap VPN 來使用不同 IP 連線到 GitHub，並以隨機產生的 GitHub Action 名稱來掩蓋其挖礦行動；每一次會同時啟動 30 個以上的 Docker 映像檔來挖礦，挖礦時僅使用一小部分 CPU 與運算資源來挖礦，以免遭到發現而強制停機。

值得注意的是，這波挖礦攻擊中挖掘的，並非市場上規模較大的知名加密貨幣，而是像 TideCoin、Onyx、Surgarchain、Spring、Yenten、Arionum、Bitweb 等相對較小的代幣；由於這些加密貨幣很難直接變現，Sysdig 的資安專家懷疑駭侵者的目的是要掌握各種代幣超過 51% 的算力，挾持整個代幣網路後即可無中生有，再換成 Monero 或 Bitcoin 等更有價值的加密貨幣以牟取暴利。

竊取運算資源挖礦的駭侵攻擊，不只會針對雲端服務業者，一般公司行號或個人的裝置也可能成為目標；如果發現裝置運算速度突然變慢，且發熱量或耗電異常增加，就應懷疑是否遭到植入挖礦惡意軟體。