Специалисты компании Netlify обнаружили большую атаку на облачные сервисы, где злоумышленники использовали их мощности для майнинга криптовалют. Атака продолжалась с сентября по ноябрь 2024 года и затронула множество сервисов, таких как Microsoft, ProtonVPN и другие.
Хакеры использовали тысячи фальшивых аккаунтов, распределённых по разным доменам и IP-адресам, чтобы получить бесплатные ресурсы для майнинга. Они загружали вредоносные программы, которые добывали криптовалюты через CPU. Сначала была добыта TideCoin, затем VerusCoin. За время атаки было украдено около 6500 долларов криптовалюты.
Хакеры избегали обнаружения, меняя код и используя разные стратегии. Они создали несколько вариаций вредоносных скриптов, которые запускались через CI/CD-инструменты на серверах облачных провайдеров. Большинство атак были с IP-адресов Microsoft Cloud, Telkom Indonesia, ProtonVPN и Datacamp.
Хакеры также массово регистрировали аккаунты с помощью специальных email-адресов. Они использовали Bitbucket и GitLab для загрузки и выполнения вредоносных программ. Серверы для майнинга находились в сетях Alibaba Cloud, DigitalOcean и других.
Кампания началась ещё в 2021 году, но стала особенно активной в последние месяцы. Хакеры нацелились на SaaS-индустрию, чтобы использовать облачные ресурсы бесплатно. Рекомендуется усилить мониторинг активности в облаке, анализировать трафик и блокировать подозрительные IP-адреса, связанные с атакой.
