Amazon'un AWS GuardDuty güvenlik ekibi, Kimlik ve Erişim Yönetimi (IAM) için risk altındaki kimlik bilgilerini kullanarak Elastik Bilgi İşlem Bulutunu (EC2) ve Elastik Konteyner Hizmetini (ECS) hedefleyen, devam eden bir kripto madenciliği kampanyası konusunda uyarıyor.
Operasyon 2 Kasım'da başladı ve madencilik operasyonlarını genişleten ve olaylara müdahale edenleri engelleyen bir devamlılık mekanizması kullandı.
Tehdit aktörü, Ekim ayı sonunda oluşturulan ve 100.000'den fazla çekime sahip olan Docker Hub görüntüsünü kullandı.
Amazon EC2 hizmeti, kullanıcıların AWS'de sanal makineler çalıştırmasına olanak tanırken ECS, kapsayıcıya alınmış uygulamaların (ör. Docker uygulamaları) bulut platformunda çalıştırılmasına olanak tanır.
Bu örneklere kripto madencilerinin yerleştirilmesi, tehdit aktörlerinin, hesaplamalı kaynak tüketiminin yükünü üstlenmek zorunda olan AWS müşterileri ve Amazon pahasına finansal olarak kâr elde etmesine olanak tanır.
Amazon, saldırganın bir güvenlik açığından yararlanmadığını ancak müşteri hesaplarında geçerli kimlik bilgileri kullandığını söylüyor.
AWS bugün yayınlanan bir raporda, saldırganın EC2 hizmet kotaları ve IAM izinlerinin keşfinin ardından ilk erişimden sonraki 10 dakika içinde kripto madenciliğine başladığını söyledi.
Bu, 29 Ekim'de oluşturulan ve bir SBRMiner-MULTI kripto madenciliğini ve kapsayıcı başlatıldığında otomatik olarak başlatılacak bir başlangıç komut dosyasını içeren Docker Hub görüntüsü yenik65958/secret'e işaret eden bir görev tanımının kaydedilmesiyle mümkün oldu.
Her görev 16.384 CPU birimi ve 32 GB bellek ile yapılandırıldı ve ECS Fargate görevleri için istenen sayı 10 olarak ayarlandı.
Saldırgan, Amazon EC2'de, kripto madenciliğini otomatik olarak başlatan başlangıç komut dosyalarının yanı sıra, her biri en az 20 örnek dağıtacak şekilde yapılandırılmış ve maksimum 999 makineye kadar kapasiteye sahip 14 otomatik ölçeklendirme grubu içeren iki başlatma şablonu oluşturdu.
Makineler çalışmaya başladıktan sonra saldırgan, yöneticilerin makineleri uzaktan sonlandırmasını önleyen bir ayarı etkinleştirdi ve yanıt verenleri makineyi kapatmadan önce korumayı açıkça devre dışı bırakmaya zorladı. Bu muhtemelen yanıtı geciktirmek ve kripto madenciliği karını en üst düzeye çıkarmak için getirildi.
Amazon, "Bu kampanyada gözlemlenen ilginç bir teknik, tehdit aktörünün API sonlandırmayı devre dışı bırakmak için başlatılan tüm EC2 örneklerinde ModifyInstanceAttribute kullanmasıydı" diye açıklıyor.
Şirket, "Örnek sonlandırma koruması, örneğin yanlışlıkla sonlandırılmasını önlese de, olaya müdahale yetenekleri için ek bir değerlendirme sağlar ve otomatik iyileştirme kontrollerini kesintiye uğratabilir" diyor.
Kampanyayı belirledikten sonra Amazon, etkilenen müşterileri kripto madencilik faaliyeti ve ele geçirilen IAM kimlik bilgilerinin döndürülmesi gerektiği konusunda uyardı.
Bir Amazon sözcüsü BleepingComputer'a şunları söyledi: "AWS, devam eden bu kampanyayı proaktif bir şekilde tespit etti ve müşterileri tehdide karşı hızla uyardı."
Ayrıca kötü amaçlı Docker Hub görüntüsü platformdan kaldırıldı ancak Amazon, tehdit aktörünün benzer görüntüleri farklı adlar ve yayıncı hesapları altında dağıtabileceği konusunda uyarıyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Amazon, uç ağ cihazlarına saldıran Rus GRU bilgisayar korsanlarının önünü kesiyor
Amazon: Bu haftaki AWS kesintisi büyük DNS arızasından kaynaklandı
AWS kesintisi Amazon, Prime Video, Fortnite, Perplexity ve daha fazlasını çökertiyor
Zeroday Cloud hackleme etkinliği, 11 sıfır gün boyunca 320.0000 $ ödül veriyor
İngiltere, 1,6 milyon kullanıcıyı etkileyen 2022 veri ihlali nedeniyle LastPass'a para cezası verdi
Kaynak: Bleeping Computer