Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Операция EleKtra-Leak не щадит AWS-серверы

01/11/23

what-is-amazon-web-services-aws-hero1563574213066481

Эксперты Palo Alto Networks из подразделения Unit 42 обнаружили и активно отслеживают ход новой вредоносной кампании под названием EleKtra-Leak, нацеленной на использование открыто размещённых учётных данных Amazon Web Services (AWS) в публичных репозиториях GitHub для проведения криптовалютных атак. Это передает Securitylab.

С декабря 2020 года киберпреступники в рамках этой кампании создали 474 уникальных экземпляра AWS Elastic Compute (EC2) для добычи криптовалюты Monero, фиксируется активность с 30 августа по 6 октября 2023 года.

Уникальность атак заключается в том, что злоумышленники умудряются сканировать GitHub на предмет IAM-ключей AWS всего за четыре минуты после их публикации. А уже через 5 минут они способны настроить процесс злонамеренного криптомайнинга на мощностях AWS. Такая скорость указывает на применение хакерами автоматизированных программных методов для мониторинга репозиториев и перехвата данных.

Сходство с другой криптоджекинговой кампанией, выявленной специалистами Intezer в январе 2021 года, привело к предположению о связи между атаками. Обе они использовали одинаковое программное обеспечение для майнинга и нацеливались на слабо защищённые сервисы Docker.

Примечательно, что злоумышленники используют слепые зоны функции сканирования секретов GitHub и политики AWS «AWSCompromisedKeyQuarantine» для злоупотребления скомпрометированными IAM-ключами и запуска экземпляров EC2.

Несмотря на то, что карантинная политика AWS применяется в течение двух минут после публикации данных на GitHub, есть подозрения, что утечка ключей происходит пока неизвестным методом, обходящим эту политику.

Злоумышленники воруют AWS-данные для проведения разведки по счетам, создания групп безопасности AWS и запуска множества экземпляров EC2 через VPN. Сами операции злонамеренного криптомайнинга выполняются на мощных инстансах типа c5a.24xlarge, что позволяет добывать больше криптовалюты в кратчайшие сроки.

Программное обеспечение для майнинга, как сообщают исследователи, загружается из URL в Google Drive, что указывает на тенденцию использования злоумышленниками доверия к известным приложениям для сокрытия своих действий.

Для предотвращения подобных инцидентов рекомендуется немедленно аннулировать API-ключи при их утечке, удалить их из репозитория GitHub и провести аудит событий клонирования репозиториев на предмет подозрительной активности.

Темы:криптовалютыПреступленияPalo Alto NetworksMoneroAmazon Web Services
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...