一项名为 EleKtra-Leak 的新活动已将目光投向了公共 GitHub 存储库中暴露的 Amazon Web Service (AWS) 身份和访问管理 (IAM) 凭证,以辅助加密劫持活动。
“通过该手段,与该活动相关的攻击者能够创建多个 AWS Elastic Compute (EC2) 实例,用于广泛且持久的加密劫持操作,”Palo Alto Networks Unit 42 研究人员 William Gamazo 和 Nathaniel Quist 在与 The Hacker News 分享的一份技术报告中提到。
该操作至少从 2020 年 12 月开始运行,在 2023 年 8 月 30 日至 10 月 6 日期间从多达 474 个受感染的 Amazon EC2 实例中挖掘门罗币。
这些攻击的一个明显的特征是,AWS IAM 凭证在 GitHub 上首次暴露后的四分钟内自动定位,这表明威胁行为者正在以自动化的方式克隆和扫描github仓库以捕获暴露的密钥。
此外,还观察到攻击者将公开 IAM 凭证的 AWS 账户列入黑名单,这可能被视为为了阻止进一步分析。
有证据表明,攻击者还可能与 Intezer 在 2021 年 1 月披露的另一次加密劫持活动有关,该活动旨在使用相同的定制挖矿软件攻击安全性较差的 Docker 服务。
该活动的成功部分在于利用 GitHub 的秘密扫描功能和 AWS 的 AWSCompromisedKeyQuarantine 策略中的盲点来标记和防止滥用泄露或暴露的 IAM 凭证来运行或启动 EC2 实例。
虽然隔离策略在 AWS 凭证在 GitHub 上公开访问后的两分钟内应用,但怀疑密钥是通过尚未确定的方法公开的。
Unit 42 表示,“威胁参与者可能能够找到 AWS 未自动检测到的暴露的 AWS 密钥,并随后在 AWSCompromisedKeyQuarantine 策略之外控制这些密钥。
在网络安全公司发现的攻击链中,被盗的 AWS 凭证用于执行账户侦察操作,然后创建 AWS 安全组并从虚拟专用网络 (VPN) 跨不同区域启动多个 EC2 实例。
加密挖掘操作是在 c5a.24xlarge AWS 实例上进行的,因为它们具有更高的处理能力,允许其运营商在更短的时间内挖掘更多的加密货币。
用于执行加密劫持的挖矿软件是从 Google Drive URL 获取的,这突出了恶意行为者利用与广泛使用的应用程序相关的信任在雷达下飞行的模式。
“威胁行为者使用的亚马逊机器映像(AMI)类型也很独特,”研究人员说。“识别出的映像是私有的,它们未在 AWS Marketplace 中列出。”
为了缓解此类攻击,建议意外暴露 AWS IAM 凭证的组织立即撤销使用密钥的任何 API 连接,将其从 GitHub 存储库中删除,并审核 GitHub 存储库克隆事件中是否存在任何可疑操作。
研究人员说:“威胁行为者可以在AWS IAM凭证在公共GitHub存储库中暴露后的五分钟内检测并启动全面的挖矿操作。“尽管 AWS 隔离政策取得了成功,但该活动在受感染账户的数量和频率上仍保持持续波动。”
扫一扫
528
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
