el_hacker
Администратор
Компрометированные учетные данные IAM используются для масштабной кампании по майнингу криптовалюты на AWS.
Была зафиксирована продолжающаяся кампания, направленная на клиентов Amazon Web Services (AWS) с использованием скомпрометированных учетных данных Identity and Access Management (IAM) для майнинга криптовалюты.
Активность, впервые обнаруженная службой обнаружения угроз Amazon GuardDuty и ее автоматизированными системами мониторинга безопасности 2 ноября 2025 года, использует ранее невиданные методы обеспечения постоянного присутствия, чтобы затруднить реагирование на инциденты и продолжать работу беспрепятственно, согласно новому отчету, опубликованному технологическим гигантом перед его выходом в свет.
«Работая с внешнего хостинг-провайдера, злоумышленник быстро получил доступ к ресурсам и разрешениям, прежде чем развернуть ресурсы для майнинга криптовалюты на ECS и EC2», — заявила Amazon. «В течение 10 минут после получения злоумышленником первоначального доступа криптомайнеры уже работали».
Многоэтапная цепочка атак, по сути, начинается с того, что неизвестный злоумышленник, используя скомпрометированные учетные данные пользователей IAM с правами администратора, инициирует фазу обнаружения, предназначенную для проверки среды на наличие квот на сервисы EC2 и проверки их разрешений путем вызова API RunInstances с установленным флагом "DryRun".
Включение флага "DryRun" имеет решающее значение и является преднамеренным, поскольку позволяет злоумышленникам проверять свои разрешения IAM без фактического запуска экземпляров, тем самым избегая дополнительных затрат и минимизируя следы анализа. Конечная цель этого этапа — определить, подходит ли целевая инфраструктура для развертывания программы майнинга.
Заражение переходит к следующему этапу, когда злоумышленник вызывает CreateServiceLinkedRole и CreateRole для создания ролей IAM для групп авто масштабирования и AWS Lambda соответственно. После создания ролей к роли Lambda прикрепляется политика "AWSLambdaBasicExecutionRole".
В ходе зафиксированной на данный момент активности злоумышленник, как сообщается, создал десятки кластеров ECS в своей среде, в некоторых случаях превышая 50 кластеров ECS за одну атаку.
«Затем они вызвали RegisterTaskDefinition с вредоносным образом DockerHub yenik65958/secret:user», — сообщила Amazon. «Используя ту же строку, что и для создания кластера, злоумышленник создал службу, используя определение задачи для запуска майнинга криптовалюты на узлах ECS Fargate».
Образ DockerHub, который впоследствии был удален, настроен на запуск скрипта оболочки сразу после развертывания для запуска майнинга криптовалюты с использованием алгоритма майнинга RandomVIREL. Кроме того, было замечено, что злоумышленник создавал группы авто масштабирования, настроенные на масштабирование от 20 до 999 экземпляров, чтобы использовать квоты сервисов EC2 и максимизировать потребление ресурсов.
Активность на EC2 была направлена как на высокопроизводительные экземпляры GPU и машинного обучения, так и на вычислительные, запоминающие и универсальные экземпляры.
Последнее редактирование:
