GitHub-Aktionen und virtuelle Azure-Maschinen (VMs) werden für Cloud-basiertes Kryptowährungs-Mining missbraucht, was auf anhaltende Versuche böswilliger Akteure hindeutet, Cloud-Ressourcen für illegale Zwecke zu nutzen.
„Angreifer können die von GitHub bereitgestellten Runner oder Server missbrauchen, um die Pipelines und Automatisierungen eines Unternehmens zu betreiben, indem sie böswillig ihre eigenen Kryptowährungs-Miner herunterladen und installieren, um auf einfache Weise Profit zu machen“, so Trend Micro-Forscher Magno Logan in einem Bericht von letzter Woche.
GitHub Actions (GHAs) ist eine Plattform für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD), die es Nutzern ermöglicht, die Software-Build-, Test- und Bereitstellungspipeline zu automatisieren. Entwickler können die Funktion nutzen, um Workflows zu erstellen, die jede Pull-Anfrage an ein Code-Repository erstellen und testen oder zusammengeführte Pull-Anfragen für die Produktion bereitstellen.
Sowohl Linux- als auch Windows-Runner werden auf Standard_DS2_v2 virtuellen Maschinen auf Azure gehostet und verfügen über zwei vCPUs und 7 GB Arbeitsspeicher.
Das japanische Unternehmen hat nach eigenen Angaben nicht weniger als 1.000 Repositories und über 550 Codebeispiele identifiziert, die die Plattform nutzen, um mit den von GitHub bereitgestellten Runnern Kryptowährung zu minen. Der Microsoft-eigene Code-Hosting-Dienst wurde über das Problem informiert.
Darüber hinaus wurden 11 Repositories gefunden, die ähnliche Varianten eines YAML-Skripts mit Befehlen zum Mining von Monero-Münzen enthielten, die alle auf dieselbe Wallet zurückgriffen.
„Solange die böswilligen Akteure nur ihre eigenen Konten und Repositories benutzen, sollten die Endnutzer keinen Grund zur Sorge haben“, so Logan. „Probleme entstehen, wenn diese GHAs auf dem GitHub Marketplace geteilt oder als Abhängigkeit für andere Aktionen verwendet werden.“
Kryptojacking-orientierte Gruppen sind dafür bekannt, dass sie Cloud-Implementierungen infiltrieren, indem sie eine Sicherheitslücke in den Zielsystemen ausnutzen, z. B. eine ungepatchte Schwachstelle, schwache Anmeldedaten oder eine falsch konfigurierte Cloud-Implementierung.
Zu den bekannten Akteuren im illegalen Kryptowährungs-Mining gehören 8220, Keksec (auch bekannt als Kek Security), Kinsing, Outlaw und TeamTNT.
Das Malware-Toolset zeichnet sich auch durch den Einsatz von Kill-Skripten aus, mit denen konkurrierende Cryptocurrency-Miner beendet und gelöscht werden, um die Cloud-Systeme zu ihrem eigenen Vorteil zu missbrauchen. Trend Micro bezeichnet dies als einen Kampf „um die Kontrolle über die Ressourcen des Opfers“.
Der Einsatz von Kryptowährungsminern verursacht nicht nur Infrastruktur- und Energiekosten, sondern ist auch ein Indikator für mangelnde Sicherheitshygiene, die es Bedrohungsakteuren ermöglicht, den durch eine Cloud-Fehlkonfiguration erlangten Erstzugang für weitaus schädlichere Ziele wie die Datenexfiltration oder Ransomware zu nutzen.
„Ein einzigartiger Aspekt […] ist, dass sich böswillige Gruppen nicht nur mit den Sicherheitssystemen und -mitarbeitern eines Zielunternehmens auseinandersetzen müssen, sondern auch untereinander um begrenzte Ressourcen konkurrieren“, so das Unternehmen in einem früheren Bericht.
„Der Kampf um die Kontrolle über die Server eines Opfers ist eine treibende Kraft für die Entwicklung der Werkzeuge und Techniken dieser Gruppen, die ihre Fähigkeit, Konkurrenten von den angegriffenen Systemen zu entfernen, ständig verbessern und sich gleichzeitig gegen ihre eigene Entfernung wehren.