阿里雲是由阿里巴巴集團旗下科技公司所開創的雲計算服務。至 2020 年，在全球公有雲市場排名第三，僅次於 Azure 與 AWS。而近日一項研究指出，網絡犯罪分子透過禁用阿里雲 ECS 服務中心的一些安全功能來實現他們的加密活動。

根據趨勢科技的研究，攻擊者透過使用加密惡意軟體中的一小段特定代碼來創建新的防火牆規則，指示安全過濾器丟棄來自屬於阿里巴巴內部區域和區域的 IP 範圍的傳入數據包。一般來說，當加密惡意軟體安裝在阿里巴巴 ECS 存儲庫時，安全機制會向用戶發送惡意腳本正在運行的通知。儘管檢測到，但安全機制未能清除正在運行的漏洞並禁用它。 而根據另一個惡意軟件樣本表明，多數時候安全代理在觸發入侵警報之前也已被卸載。一旦它通過了安全機制，惡意軟體就會安裝現成的 XMRig 加密貨幣礦工，使其為 Monero 挖礦。

影響方面，由於阿里巴巴 ECS 具有自動擴展功能，服務會根據需求自動擴展計算資源的可用性。這為加密礦工提供了無限的資源，並使受害者為他們的賬單震驚。

此外，由於惡意軟體的代碼是模塊化的，因此可以輕易的替換另一個惡意軟體以在環境中執行該加密作業，並且傳播到其他工作負載和端點。這是以高用戶權限的方式來滲透到環境中，還可以對項目或基礎設施進行後續攻擊。

為了保護自己免受駭客的侵害，研究人員建議用戶應該創建一個僅有少數用戶擁有權限的帳號，來在每個 ECS 中運行應用程序和服務。

參考資料：
https://threatpost.com/cybercriminals-alibaba-cloud-cryptomining-malware/176348/