EleKtra-Leak Cryptojacking Saldırıları, GitHub'da Açığa Çıkan AWS IAM Kimlik Bilgilerini İstismar Ediyor - Dünyadan Güncel Teknoloji Haberleri

EleKtra-Leak Cryptojacking Saldırıları, GitHub'da Açığa Çıkan AWS IAM Kimlik Bilgilerini İstismar Ediyor - Dünyadan Güncel Teknoloji Haberleri
“Başarılı AWS karantina politikalarına rağmen kampanya, ele geçirilen kurban hesaplarının sayısında ve sıklığında sürekli dalgalanmayı sürdürüyor

Düşmanın ayrıca, muhtemelen daha fazla analizi önleme çabası olarak görülen, IAM kimlik bilgilerini yayınlayan AWS hesaplarını engellenenler listesine aldığı da gözlemlendi depo klonlama etkinlikleri Herhangi bir şüpheli işlem için

“Amazon Makine Görüntülerinin türü (BEN MİYİM) kullanılan tehdit aktörü de ayırt ediciydi” dedi araştırmacılar AWS güvenlik grupları ve sanal bir özel ağın (VPN) arkasından çeşitli bölgelerde birden fazla EC2 örneğinin başlatılması

Cryptojacking’i gerçekleştirmek için kullanılan madencilik yazılımı, bir Google Drive URL’sinden getiriliyor ve bu, yaygın olarak kullanılan uygulamalarla ilişkili güveni kullanarak radarın altından uçmak için kötü niyetli aktörlerin bir modelini vurguluyor

Siber güvenlik şirketi tarafından keşfedilen saldırı zincirlerinde, çalınan AWS kimlik bilgileri bir hesap keşif operasyonu gerçekleştirmek için kullanılıyor ve ardından hesap oluşturuluyor 24xlarge AWS bulut sunucuları üzerinde gerçekleştiriliyor ve operatörlerinin daha kısa sürede daha fazla kripto para birimi madenciliği yapmasına olanak tanıyor

Saldırıların göze çarpan bir yönü, AWS IAM kimlik bilgilerinin GitHub’da ilk kez açığa çıktıktan sonraki dört dakika içinde otomatik olarak hedeflenmesidir; bu, tehdit aktörlerinin açığa çıkan anahtarları ele geçirmek için depoları programlı bir şekilde klonladığını ve taradığını gösterir

Palo Alto Networks Birim 42 araştırmacısı William Gamazo ve “Bunun sonucunda, kampanyayla ilişkili tehdit aktörü, geniş kapsamlı ve uzun süreli kripto hırsızlığı operasyonları için kullandıkları birden fazla AWS Elastic Compute (EC2) örneği oluşturmayı başardı

Kripto madenciliği işlemleri, daha yüksek işlem gücü sayesinde c5a AWSCompromisedKeyKarantina politikası EC2 bulut sunucularını çalıştırmak veya başlatmak için güvenliği ihlal edilmiş veya ifşa edilmiş IAM kimlik bilgilerinin kötüye kullanımını işaretlemek ve önlemek için ” Nathaniel Quist söz konusu The Hacker News ile paylaşılan teknik bir raporda


30 Eki 2023Haber odasıBulut Güvenliği / Kripto Para Birimi

adlı yeni bir devam eden kampanya EleKtra-Sızıntı Cryptojacking faaliyetlerini kolaylaştırmak için gözlerini herkese açık GitHub depolarındaki Amazon Web Service (AWS) kimlik ve erişim yönetimi (IAM) kimlik bilgilerine dikti ”

Bu tür saldırıları azaltmak için, yanlışlıkla AWS IAM kimlik bilgilerini açığa çıkaran kuruluşların, anahtarları kullanan tüm API bağlantılarını derhal iptal etmeleri, bunları GitHub deposundan kaldırmaları ve GitHub’u denetlemeleri önerilir

En az Aralık 2020’den beri aktif olan operasyon, 30 Ağustos ile 6 Ekim 2023 tarihleri ​​arasında 474 kadar benzersiz Amazon EC2 örneğinden Monero madenciliği yapmak üzere tasarlandı

Saldırganın başka bir cryptojacking kampanyasıyla da bağlantılı olabileceğini gösteren kanıtlar var Intezer tarafından açıklandı Ocak 2021’de aynı özel madencilik yazılımını kullanan Docker hizmetlerinin güvenliğinin düşük olması hedeflendi ”



siber-2

Birim 42, “tehdit aktörünün, AWS tarafından otomatik olarak algılanmayan açıkta kalan AWS anahtarlarını bulabileceğini ve daha sonra bu anahtarları AWSCompromisedKeyQuarantine politikası dışında kontrol edebileceğini” söyledi “Tanımlanan görüntüler özeldi ve AWS Marketplace’te listelenmemişti

Kampanyanın başarısının bir kısmı GitHub’un gizli tarama özelliği ve AWS’deki kör noktalardan yararlanılmasında yatmaktadır

Araştırmacılar, “Tehdit aktörü, AWS IAM kimlik bilgilerinin halka açık GitHub deposunda açığa çıkmasından itibaren beş dakika içinde tam ölçekli bir madencilik operasyonunu tespit edip başlatabilir” dedi

Karantina politikası, AWS kimlik bilgilerinin GitHub’da herkese açık hale gelmesinden sonraki iki dakika içinde uygulansa da, anahtarların henüz belirlenemeyen bir yöntemle açığa çıktığından şüpheleniliyor