Una nueva campaña en curso denominada EleKtra-fuga ha puesto sus ojos en las credenciales expuestas de gestión de identidad y acceso (IAM) de Amazon Web Service (AWS) dentro de los repositorios públicos de GitHub para facilitar las actividades de criptojacking.
«Como resultado de esto, el actor de amenazas asociado con la campaña pudo crear múltiples instancias de AWS Elastic Compute (EC2) que utilizaron para operaciones de cryptojacking de amplio alcance y larga duración», dijeron los investigadores de la Unidad 42 de Palo Alto Networks, William Gamazo y Nathaniel Quist dicho en un informe técnico compartido con The Hacker News.
La operación, activa desde al menos diciembre de 2020, está diseñada para extraer Monero de hasta 474 instancias únicas de Amazon EC2 entre el 30 de agosto y el 6 de octubre de 2023.
Un aspecto destacado de los ataques es el ataque automatizado a las credenciales de AWS IAM dentro de los cuatro minutos de su exposición inicial en GitHub, lo que indica que los actores de amenazas están clonando y escaneando programáticamente los repositorios para capturar las claves expuestas.
También se ha observado que el adversario incluye en una lista bloqueada cuentas de AWS que publicitan credenciales de IAM en lo que probablemente se considera un esfuerzo por evitar más análisis.
Hay evidencia que sugiere que el atacante también pudo haber estado vinculado a otra campaña de criptojacking. revelado por Intezer en enero de 2021 tenía como objetivo servicios Docker mal protegidos utilizando el mismo software de minería personalizado.
Parte del éxito de la campaña radica en la explotación de puntos ciegos en la función de escaneo secreto de GitHub y AWS. AWSCompromisedKeyPolítica de cuarentena para marcar y evitar el uso indebido de credenciales de IAM comprometidas o expuestas para ejecutar o iniciar instancias EC2.
Si bien la política de cuarentena se aplica dentro de los dos minutos posteriores al acceso público a las credenciales de AWS en GitHub, se sospecha que las claves están siendo expuestas a través de un método aún indeterminado.
La Unidad 42 dijo que «el actor de amenazas podría encontrar claves de AWS expuestas que AWS no detecta automáticamente y posteriormente controlar estas claves fuera de la política AWSCompromisedKeyQuarantine».
En las cadenas de ataque descubiertas por la empresa de ciberseguridad, las credenciales de AWS robadas se utilizan para realizar una operación de reconocimiento de cuenta, seguida de la creación Grupos de seguridad de AWS y lanzar múltiples instancias EC2 en varias regiones desde detrás de una red privada virtual (VPN).
Las operaciones de criptominería se llevan a cabo en instancias c5a.24xlarge de AWS debido a su mayor poder de procesamiento, lo que permite a sus operadores extraer más criptomonedas en un período de tiempo más corto.
El software de minería utilizado para llevar a cabo el cryptojacking se obtiene de una URL de Google Drive, lo que resalta un patrón de actores maliciosos que aprovechan la confianza asociada con aplicaciones ampliamente utilizadas para pasar desapercibidas.
«El tipo de imágenes de máquinas de Amazon (IAM) el actor de amenazas utilizado también era distintivo», dijeron los investigadores. «Las imágenes identificadas eran privadas y no figuraban en AWS Marketplace».
Para mitigar dichos ataques, se recomienda a las organizaciones que exponen accidentalmente las credenciales de AWS IAM que revoquen inmediatamente cualquier conexión API utilizando las claves, las eliminen del repositorio de GitHub y auditen GitHub. eventos de clonación de repositorios para cualquier operación sospechosa.
«El actor de amenazas puede detectar y lanzar una operación minera a gran escala en cinco minutos desde el momento en que se expone una credencial de AWS IAM en un repositorio público de GitHub», dijeron los investigadores. «A pesar del éxito de las políticas de cuarentena de AWS, la campaña mantiene una fluctuación continua en el número y la frecuencia de las cuentas de las víctimas comprometidas».