- 13,887
- 20
- 8 Ноя 2022
IAM-ключи открывают хакерам любые двери, не спасает даже карантинная политика.
Эксперты Palo Alto Networks из подразделения Unit 42 Для просмотра ссылки Войдиили Зарегистрируйся ход новой вредоносной кампании под названием EleKtra-Leak, нацеленной на использование открыто размещённых учётных данных Amazon Web Services ( AWS ) в публичных репозиториях GitHub для проведения криптовалютных атак.
С декабря 2020 года киберпреступники в рамках этой кампании создали 474 уникальных экземпляра AWS Elastic Compute ( EC2 ) для добычи криптовалюты Monero , фиксируется активность с 30 августа по 6 октября 2023 года.
Уникальность атак заключается в том, что злоумышленники умудряются сканировать GitHub на предмет IAM -ключей AWS всего за четыре минуты после их публикации. А уже через 5 минут они способны настроить процесс злонамеренного криптомайнинга на мощностях AWS. Такая скорость указывает на применение хакерами автоматизированных программных методов для мониторинга репозиториев и перехвата данных.
Сходство с другой криптоджекинговой кампанией, Для просмотра ссылки Войдиили Зарегистрируйся специалистами Intezer в январе 2021 года, привело к предположению о связи между атаками. Обе они использовали одинаковое программное обеспечение для майнинга и нацеливались на слабо защищённые сервисы Docker .
Примечательно, что злоумышленники используют слепые зоны функции сканирования секретов GitHub и политики AWS «AWSCompromisedKeyQuarantine» для злоупотребления скомпрометированными IAM-ключами и запуска экземпляров EC2.
Несмотря на то, что карантинная политика AWS применяется в течение двух минут после публикации данных на GitHub, есть подозрения, что утечка ключей происходит пока неизвестным методом, обходящим эту политику.
Злоумышленники воруют AWS-данные для проведения разведки по счетам, создания групп безопасности AWS и запуска множества экземпляров EC2 через VPN . Сами операции злонамеренного криптомайнинга выполняются на мощных инстансах типа c5a.24xlarge, что позволяет добывать больше криптовалюты в кратчайшие сроки.
Программное обеспечение для майнинга, как сообщают исследователи, загружается из URL в Google Drive, что указывает на тенденцию использования злоумышленниками доверия к известным приложениям для сокрытия своих действий.
Для предотвращения подобных инцидентов рекомендуется немедленно аннулировать API -ключи при их утечке, удалить их из репозитория GitHub и провести аудит событий клонирования репозиториев на предмет подозрительной активности.
Эксперты Palo Alto Networks из подразделения Unit 42 Для просмотра ссылки Войди
С декабря 2020 года киберпреступники в рамках этой кампании создали 474 уникальных экземпляра AWS Elastic Compute ( EC2 ) для добычи криптовалюты Monero , фиксируется активность с 30 августа по 6 октября 2023 года.
Уникальность атак заключается в том, что злоумышленники умудряются сканировать GitHub на предмет IAM -ключей AWS всего за четыре минуты после их публикации. А уже через 5 минут они способны настроить процесс злонамеренного криптомайнинга на мощностях AWS. Такая скорость указывает на применение хакерами автоматизированных программных методов для мониторинга репозиториев и перехвата данных.
Сходство с другой криптоджекинговой кампанией, Для просмотра ссылки Войди
Примечательно, что злоумышленники используют слепые зоны функции сканирования секретов GitHub и политики AWS «AWSCompromisedKeyQuarantine» для злоупотребления скомпрометированными IAM-ключами и запуска экземпляров EC2.
Несмотря на то, что карантинная политика AWS применяется в течение двух минут после публикации данных на GitHub, есть подозрения, что утечка ключей происходит пока неизвестным методом, обходящим эту политику.
Злоумышленники воруют AWS-данные для проведения разведки по счетам, создания групп безопасности AWS и запуска множества экземпляров EC2 через VPN . Сами операции злонамеренного криптомайнинга выполняются на мощных инстансах типа c5a.24xlarge, что позволяет добывать больше криптовалюты в кратчайшие сроки.
Программное обеспечение для майнинга, как сообщают исследователи, загружается из URL в Google Drive, что указывает на тенденцию использования злоумышленниками доверия к известным приложениям для сокрытия своих действий.
Для предотвращения подобных инцидентов рекомендуется немедленно аннулировать API -ключи при их утечке, удалить их из репозитория GitHub и провести аудит событий клонирования репозиториев на предмет подозрительной активности.
- Источник новости
- www.securitylab.ru
