Endonezya kökenli, finansal olarak motive olmuş bir tehdit aktörünün, yasa dışı kripto madenciliği operasyonlarını yürütmek için Amazon Web Services (AWS) Elastic Compute Cloud (EC2) bulut sunucularından yararlandığı gözlemlendi.
Grubu ilk olarak Kasım 2021’de tespit eden bulut güvenlik şirketi Permiso P0 Labs, gruba takma ad atadı GUI-vil (Goo-ee-vil olarak telaffuz edilir).
Şirket, “Grup, ilk işlemleri için Grafik Kullanıcı Arayüzü (GUI) araçlarını, özellikle S3 Tarayıcısını (sürüm 9.5.5) tercih ediyor” dedi. rapor The Hacker News ile paylaştı. “AWS Konsolu erişimi elde ettikten sonra, işlemlerini doğrudan web tarayıcısı üzerinden yürütürler.”
GUI-vil tarafından kurulan saldırı zincirleri, AWS anahtarlarını GitHub’daki herkese açık kaynak kodu depolarında silah haline getirerek veya uzaktan kod yürütme kusurlarına (ör. CVE-2021-22205).
Başarılı bir girişi, ayrıcalık yükseltme ve mevcut tüm S3 gruplarını gözden geçirmek ve AWS web konsolu üzerinden erişilebilen hizmetleri belirlemek için dahili bir keşif takip eder.
Tehdit aktörünün çalışma tarzının dikkate değer bir yönü, aynı adlandırma kuralına uyan ve nihai olarak hedeflerini karşılayan yeni kullanıcılar yaratarak kurban ortamına uyum sağlama ve bu ortamda varlığını sürdürme girişimidir.
“GUI-vil, oluşturdukları yeni kimlikler için erişim anahtarları da oluşturacak, böylece kullanmaya devam edebilecekler. S3 Tarayıcı bu yeni kullanıcılarla,” şirket açıkladı.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Alternatif olarak, grup da görüldü oturum açma profilleri oluşturma AWS konsoluna kırmızı bayraklar yükseltmeden erişim sağlamak için bunlara sahip olmayan mevcut kullanıcılar için.
GUI-vil’in Endonezya ile olan bağlantıları, faaliyetlerle ilişkili kaynak IP adreslerinin Güneydoğu Asya ülkesinde bulunan iki Özerk Sistem Numarasına (ASN) bağlı olmasından kaynaklanmaktadır.
Araştırmacılar, “Grubun finansal olarak yönlendirilen birincil görevi, kripto madenciliği faaliyetlerini kolaylaştırmak için EC2 bulut sunucuları oluşturmaktır” dedi. “Birçok durumda kripto madenciliğinden elde ettikleri karlar, kurban kuruluşların EC2 bulut sunucularını çalıştırmak için ödemek zorunda oldukları masrafın sadece bir kısmıdır.”
