TRIPLESTRENGTH 针对云环境进行加密货币劫持与勒索软件攻击

Google周三揭露了一个名为TRIPLESTRENGTH的以获利为目的的威胁行为体，该行为体伺机针对云环境进行加密货币劫持和本地勒索软件攻击。

这家科技巨头的云部门在其第11期《威胁地平线报告》中表示：“该行为体从事了多种威胁活动，包括在被劫持的云资源上进行加密货币挖掘操作和勒索软件活动。”

TRIPLESTRENGTH从事三类恶意攻击，包括非法加密货币挖掘、勒索软件和敲诈，并向其他威胁行为体提供访问包括Google Cloud、Amazon Web Services、Microsoft Azure、Linode、OVHCloud和Digital Ocean在内的各种云平台的途径。

目标云实例的初步访问是通过被盗的凭证和cookie实现的，其中一些源自Raccoon信息窃取器的感染日志。被劫持的环境随后被滥用，以创建用于挖掘加密货币的计算资源。

该活动的后续版本被发现利用高度特权账户，将攻击者控制的账户作为受害者的云项目中的计费联系人，以便为挖掘目的设置大型计算资源。

加密货币挖掘是通过使用unMiner应用程序和unMineable挖掘池进行的，根据目标系统，采用CPU和GPU优化的挖掘算法。

颇为不寻常的是，TRIPLESTRENGTH的勒索软件部署操作主要针对本地资源，而非云基础设施，使用的勒索软件包括Phobos、RCRU64和LokiLocker。

Google Cloud表示：“在专注于黑客活动的Telegram频道中，与TRIPLESTRENGTH有关联的行为体发布了RCRU64勒索软件即服务（RaaS）的广告，并寻求合作伙伴参与勒索软件和敲诈勒索活动。”

在2024年5月的一起RCRU64勒索软件事件中，据说威胁行为体首先通过远程桌面协议获得初步访问权限，随后执行横向移动和防病毒防御规避步骤，在多个主机上执行勒索软件。

TRIPLESTRENGTH还经常在Telegram上宣传访问被入侵的服务器，包括托管提供商和云平台的服务器。

Google表示，已采取措施应对这些活动，包括强制实施多因素身份验证（MFA）以防止账户被接管的风险，并推出改进后的日志记录功能，以标记敏感计费操作。

这家科技巨头表示：“单个被盗的凭证可能引发连锁反应，使攻击者能够访问本地和云中的应用程序和数据。”

“这种访问权限可进一步被利用，通过远程访问服务破坏基础设施、操纵MFA，并为后续的社会工程学攻击建立可信的存在。”

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；