Новости 5 минут от утечки до криптоджекинга: операция EleKtra-Leak не щадит AWS-серверы

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
IAM-ключи открывают хакерам любые двери, не спасает даже карантинная политика.


o192nddnu50n6li983y9qgkfztf0mw7d.jpg


Эксперты Palo Alto Networks из подразделения Unit 42 Для просмотра ссылки Войди или Зарегистрируйся ход новой вредоносной кампании под названием EleKtra-Leak, нацеленной на использование открыто размещённых учётных данных Amazon Web Services ( AWS ) в публичных репозиториях GitHub для проведения криптовалютных атак.

С декабря 2020 года киберпреступники в рамках этой кампании создали 474 уникальных экземпляра AWS Elastic Compute ( EC2 ) для добычи криптовалюты Monero , фиксируется активность с 30 августа по 6 октября 2023 года.

Уникальность атак заключается в том, что злоумышленники умудряются сканировать GitHub на предмет IAM -ключей AWS всего за четыре минуты после их публикации. А уже через 5 минут они способны настроить процесс злонамеренного криптомайнинга на мощностях AWS. Такая скорость указывает на применение хакерами автоматизированных программных методов для мониторинга репозиториев и перехвата данных.

Сходство с другой криптоджекинговой кампанией, Для просмотра ссылки Войди или Зарегистрируйся специалистами Intezer в январе 2021 года, привело к предположению о связи между атаками. Обе они использовали одинаковое программное обеспечение для майнинга и нацеливались на слабо защищённые сервисы Docker .

Примечательно, что злоумышленники используют слепые зоны функции сканирования секретов GitHub и политики AWS «AWSCompromisedKeyQuarantine» для злоупотребления скомпрометированными IAM-ключами и запуска экземпляров EC2.

Несмотря на то, что карантинная политика AWS применяется в течение двух минут после публикации данных на GitHub, есть подозрения, что утечка ключей происходит пока неизвестным методом, обходящим эту политику.

Злоумышленники воруют AWS-данные для проведения разведки по счетам, создания групп безопасности AWS и запуска множества экземпляров EC2 через VPN . Сами операции злонамеренного криптомайнинга выполняются на мощных инстансах типа c5a.24xlarge, что позволяет добывать больше криптовалюты в кратчайшие сроки.

Программное обеспечение для майнинга, как сообщают исследователи, загружается из URL в Google Drive, что указывает на тенденцию использования злоумышленниками доверия к известным приложениям для сокрытия своих действий.

Для предотвращения подобных инцидентов рекомендуется немедленно аннулировать API -ключи при их утечке, удалить их из репозитория GitHub и провести аудит событий клонирования репозиториев на предмет подозрительной активности.
 
Источник новости
www.securitylab.ru

Похожие темы