5 минут от утечки до криптоджекинга: операция EleKtra-Leak не щадит AWS-серверы

Эксперты Palo Alto Networks из подразделения Unit 42 обнаружили и активно отслеживают ход новой вредоносной кампании под названием EleKtra-Leak, нацеленной на использование открыто размещённых учётных данных Amazon Web Services (AWS) в публичных репозиториях GitHub для проведения криптовалютных атак.

С декабря 2020 года киберпреступники в рамках этой кампании создали 474 уникальных экземпляра AWS Elastic Compute (EC2) для добычи криптовалюты Monero, фиксируется активность с 30 августа по 6 октября 2023 года.

Уникальность атак заключается в том, что злоумышленники умудряются сканировать GitHub на предмет IAM-ключей AWS всего за четыре минуты после их публикации. А уже через 5 минут они способны настроить процесс злонамеренного криптомайнинга на мощностях AWS. Такая скорость указывает на применение хакерами автоматизированных программных методов для мониторинга репозиториев и перехвата данных.

Сходство с другой криптоджекинговой кампанией, выявленной специалистами Intezer в январе 2021 года, привело к предположению о связи между атаками. Обе они использовали одинаковое программное обеспечение для майнинга и нацеливались на слабо защищённые сервисы Docker.

Примечательно, что злоумышленники используют слепые зоны функции сканирования секретов GitHub и политики AWS «AWSCompromisedKeyQuarantine» для злоупотребления скомпрометированными IAM-ключами и запуска экземпляров EC2.

Несмотря на то, что карантинная политика AWS применяется в течение двух минут после публикации данных на GitHub, есть подозрения, что утечка ключей происходит пока неизвестным методом, обходящим эту политику.

Злоумышленники воруют AWS-данные для проведения разведки по счетам, создания групп безопасности AWS и запуска множества экземпляров EC2 через VPN. Сами операции злонамеренного криптомайнинга выполняются на мощных инстансах типа c5a.24xlarge, что позволяет добывать больше криптовалюты в кратчайшие сроки.

Программное обеспечение для майнинга, как сообщают исследователи, загружается из URL в Google Drive, что указывает на тенденцию использования злоумышленниками доверия к известным приложениям для сокрытия своих действий.

Для предотвращения подобных инцидентов рекомендуется немедленно аннулировать API-ключи при их утечке, удалить их из репозитория GitHub и провести аудит событий клонирования репозиториев на предмет подозрительной активности.