按 Enter 到主內容區
:::

TWCERT-電子報

:::

大型加密貨幣駭侵活動,濫用多種網路免費資源進行挖礦

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-11-01
  • 點閱次數:260
大型加密貨幣駭侵活動,濫用多種網路免費資源進行挖礦 TWCERT/CC

資安廠商 Sysdig 旗下的資安研究人員,日前發現一場進行中的大型加密貨幣挖礦攻擊活動,濫用各種網路免費資源如 Github、Heroku、Buddy 等服務,用來進行挖礦。

這波攻擊活動以化整為零的方式,在多個雲端運算服務註冊免費使用帳號,利用這些服務提供的免費資源來進行加密貨幣挖礦運算;雖然每個免費帳號能挖到的加密貨幣為數可能不多,但累積起來就是一筆可觀的數字。

據 Sysdig 的報告表示,發動這波挖礦惡意攻擊的駭侵團體稱為「紫海膽」(Purpleurchin),觀察到的每日函數呼叫高達 100 萬次以上;這波攻擊在 GitHub 申請了 300 個帳號、Heroku 為 2,000 個、Buddy.work 也有 900 個帳號。

報告指出,這些帳號是以程式控制,全自動輪流使用,以含有挖礦專用容器的 130 個  Docker Hub 映像檔隨時切換,用以防範遭到系統偵測停用。

駭侵者設計了能自動註冊新 GitHub 帳號的 shell script,透過 OpenVPN 和 Namecheap VPN 來使用不同 IP 連線到 GitHub,並以隨機產生的 GitHub Action 名稱來掩蓋其挖礦行動;每一次會同時啟動 30 個以上的 Docker 映像檔來挖礦,挖礦時僅使用一小部分 CPU 與運算資源來挖礦,以免遭到發現而強制停機。

值得注意的是,這波挖礦攻擊中挖掘的,並非市場上規模較大的知名加密貨幣,而是像 TideCoin、Onyx、Surgarchain、Spring、Yenten、Arionum、Bitweb 等相對較小的代幣;由於這些加密貨幣很難直接變現,Sysdig 的資安專家懷疑駭侵者的目的是要掌握各種代幣超過 51% 的算力,挾持整個代幣網路後即可無中生有,再換成 Monero 或 Bitcoin 等更有價值的加密貨幣以牟取暴利。

竊取運算資源挖礦的駭侵攻擊,不只會針對雲端服務業者,一般公司行號或個人的裝置也可能成為目標;如果發現裝置運算速度突然變慢,且發熱量或耗電異常增加,就應懷疑是否遭到植入挖礦惡意軟體。

回頁首