{"id":994372,"date":"2023-10-30T18:33:46","date_gmt":"2023-10-30T20:33:46","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-attaques-de-cryptojacking-elektra-leak-exploitent-les-informations-didentification-aws-iam-exposees-sur-github\/"},"modified":"2023-10-30T18:33:50","modified_gmt":"2023-10-30T20:33:50","slug":"les-attaques-de-cryptojacking-elektra-leak-exploitent-les-informations-didentification-aws-iam-exposees-sur-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-attaques-de-cryptojacking-elektra-leak-exploitent-les-informations-didentification-aws-iam-exposees-sur-github\/","title":{"rendered":"Les attaques de cryptojacking EleKtra-Leak exploitent les informations d&#8217;identification AWS IAM expos\u00e9es sur GitHub"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">30 octobre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du cloud \/ Crypto-monnaie<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Les-attaques-de-cryptojacking-EleKtra-Leak-exploitent-les-informations-didentification-AWS.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une nouvelle campagne en cours baptis\u00e9e <strong>EleKtra-Fuite<\/strong> a jet\u00e9 son d\u00e9volu sur les informations d&#8217;identification expos\u00e9es de gestion des identit\u00e9s et des acc\u00e8s (IAM) d&#8217;Amazon Web Service (AWS) dans les r\u00e9f\u00e9rentiels publics GitHub pour faciliter les activit\u00e9s de cryptojacking.<\/p>\n<p>&#8220;En cons\u00e9quence, l&#8217;acteur malveillant associ\u00e9 \u00e0 la campagne a pu cr\u00e9er plusieurs instances AWS Elastic Compute (EC2) qu&#8217;il a utilis\u00e9es pour des op\u00e9rations de cryptojacking de grande envergure et de longue dur\u00e9e&#8221;, ont d\u00e9clar\u00e9 William Gamazo et Palo Alto Networks Unit 42. Nathaniel Quist <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/malicious-operations-of-exposed-iam-keys-cryptojacking\" target=\"_blank\">dit<\/a> dans un rapport technique partag\u00e9 avec The Hacker News.<\/p>\n<p>L&#8217;op\u00e9ration, active depuis au moins d\u00e9cembre 2020, est con\u00e7ue pour extraire Monero \u00e0 partir de 474 instances Amazon EC2 uniques entre le 30 ao\u00fbt et le 6 octobre 2023.<\/p>\n<p>Un aspect marquant des attaques est le ciblage automatis\u00e9 des informations d&#8217;identification AWS IAM dans les quatre minutes suivant leur exposition initiale sur GitHub, ce qui indique que les acteurs malveillants clonent et analysent par programme les r\u00e9f\u00e9rentiels pour capturer les cl\u00e9s expos\u00e9es.<\/p>\n<p>L&#8217;adversaire a \u00e9galement \u00e9t\u00e9 observ\u00e9 en train de bloquer les comptes AWS qui publient les informations d&#8217;identification IAM dans ce qui est probablement consid\u00e9r\u00e9 comme un effort pour emp\u00eacher une analyse plus approfondie.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-1.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Les-attaques-de-cryptojacking-EleKtra-Leak-exploitent-les-informations-didentification-AWS.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il existe des preuves sugg\u00e9rant que l&#8217;attaquant pourrait \u00e9galement avoir \u00e9t\u00e9 li\u00e9 \u00e0 une autre campagne de cryptojacking. <a rel=\"nofollow noopener\" href=\"https:\/\/intezer.com\/blog\/research\/a-rare-look-inside-a-cryptojacking-campaign-and-its-profit\/\" target=\"_blank\">divulgu\u00e9 par Intezer<\/a> en janvier 2021, visant les services Docker mal s\u00e9curis\u00e9s utilisant le m\u00eame logiciel de minage sur mesure.<\/p>\n<p>Une partie du succ\u00e8s de la campagne r\u00e9side dans l&#8217;exploitation des angles morts de la fonction d&#8217;analyse secr\u00e8te de GitHub et d&#8217;AWS. <a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/aws-managed-policy\/latest\/reference\/AWSCompromisedKeyQuarantineV2.html\" target=\"_blank\">Politique AWSComromisedKeyQuarantine<\/a> pour signaler et emp\u00eacher l&#8217;utilisation abusive d&#8217;informations d&#8217;identification IAM compromises ou expos\u00e9es pour ex\u00e9cuter ou d\u00e9marrer des instances EC2.<\/p>\n<p>Bien que la politique de quarantaine soit appliqu\u00e9e dans les deux minutes suivant l&#8217;acc\u00e8s public aux informations d&#8217;identification AWS sur GitHub, on soup\u00e7onne que les cl\u00e9s sont expos\u00e9es via une m\u00e9thode encore ind\u00e9termin\u00e9e.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698698024_625_Les-attaques-de-cryptojacking-EleKtra-Leak-exploitent-les-informations-didentification-AWS.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698698024_625_Les-attaques-de-cryptojacking-EleKtra-Leak-exploitent-les-informations-didentification-AWS.jpg\" alt=\"Attaques de cryptojacking EleKtra-Leak\" border=\"0\" data-original-height=\"525\" data-original-width=\"728\" title=\"Attaques de cryptojacking EleKtra-Leak\"\/><\/a><\/div>\n<p>L&#8217;unit\u00e9 42 a d\u00e9clar\u00e9 que \u00ab\u00a0l&#8217;acteur mena\u00e7ant pourrait \u00eatre en mesure de trouver des cl\u00e9s AWS expos\u00e9es qui ne sont pas automatiquement d\u00e9tect\u00e9es par AWS et de contr\u00f4ler ensuite ces cl\u00e9s en dehors de la politique AWSCompromisedKeyQuarantine\u00a0\u00bb.<\/p>\n<p>Dans les cha\u00eenes d&#8217;attaque d\u00e9couvertes par l&#8217;entreprise de cybers\u00e9curit\u00e9, les identifiants AWS vol\u00e9s sont utilis\u00e9s pour effectuer une op\u00e9ration de reconnaissance de compte, suivie de la cr\u00e9ation <a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/vpc\/latest\/userguide\/vpc-security-groups.html\" target=\"_blank\">Groupes de s\u00e9curit\u00e9 AWS<\/a> et lancer plusieurs instances EC2 dans diverses r\u00e9gions derri\u00e8re un r\u00e9seau priv\u00e9 virtuel (VPN).<\/p>\n<p>Les op\u00e9rations de cryptomining sont effectu\u00e9es sur des instances AWS c5a.24xlarge en raison de leur puissance de traitement plus \u00e9lev\u00e9e, permettant \u00e0 ses op\u00e9rateurs d&#8217;extraire plus de cryptomonnaie dans un laps de temps plus court.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698698026_446_Les-attaques-de-cryptojacking-EleKtra-Leak-exploitent-les-informations-didentification-AWS.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le logiciel de minage utilis\u00e9 pour effectuer le cryptojacking est extrait d&#8217;une URL de Google Drive, mettant en \u00e9vidence un mod\u00e8le d&#8217;acteurs malveillants tirant parti de la confiance associ\u00e9e aux applications largement utilis\u00e9es pour passer inaper\u00e7us.<\/p>\n<p>&#8220;Le type d&#8217;Amazon Machine Images (<a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/AWSEC2\/latest\/UserGuide\/AMIs.html\" target=\"_blank\">SUIS-JE<\/a>) l&#8217;acteur malveillant utilis\u00e9 \u00e9tait \u00e9galement distinctif&#8221;, ont d\u00e9clar\u00e9 les chercheurs. &#8220;Les images identifi\u00e9es \u00e9taient priv\u00e9es et elles n&#8217;\u00e9taient pas r\u00e9pertori\u00e9es sur AWS Marketplace.&#8221;<\/p>\n<p>Pour att\u00e9nuer de telles attaques, il est recommand\u00e9 aux organisations qui exposent accidentellement les informations d&#8217;identification AWS IAM de r\u00e9voquer imm\u00e9diatement toutes les connexions API utilisant les cl\u00e9s, de les supprimer du r\u00e9f\u00e9rentiel GitHub et d&#8217;auditer GitHub. <a rel=\"nofollow noopener\" href=\"https:\/\/docs.github.com\/en\/enterprise-cloud@latest\/admin\/monitoring-activity-in-your-enterprise\/reviewing-audit-logs-for-your-enterprise\/audit-log-events-for-your-enterprise\" target=\"_blank\">\u00e9v\u00e9nements de clonage de r\u00e9f\u00e9rentiel<\/a> pour toute op\u00e9ration suspecte.<\/p>\n<p>&#8220;L&#8217;acteur malveillant peut d\u00e9tecter et lancer une op\u00e9ration mini\u00e8re \u00e0 grande \u00e9chelle dans les cinq minutes suivant l&#8217;exposition d&#8217;un identifiant AWS IAM dans un r\u00e9f\u00e9rentiel GitHub public&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  \u00ab\u00a0Malgr\u00e9 le succ\u00e8s des politiques de quarantaine d&#8217;AWS, la campagne maintient une fluctuation continue du nombre et de la fr\u00e9quence des comptes de victimes compromis.\u00a0\u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/elektra-leak-cryptojacking-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80230 octobre 2023\ue804R\u00e9dactionS\u00e9curit\u00e9 du cloud \/ Crypto-monnaie Une nouvelle campagne en cours baptis\u00e9e EleKtra-Fuite a jet\u00e9 son d\u00e9volu sur les informations d&#8217;identification expos\u00e9es de gestion des identit\u00e9s et des acc\u00e8s (IAM) d&#8217;Amazon Web Service (AWS) dans les r\u00e9f\u00e9rentiels publics GitHub pour faciliter les activit\u00e9s de cryptojacking. &#8220;En cons\u00e9quence, l&#8217;acteur malveillant associ\u00e9 \u00e0 la campagne a [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":994373,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,8074,45034,4168,119982,4165,4161,200267,71695,211926,8736,6855,50438,211927,492,4159,4171,65,200271,200268,200269,200270,128318,4172,4169,60,4166,4164],"class_list":["post-994372","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-attaques","tag-aws","tag-comment-pirater","tag-cryptojacking","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-didentification","tag-elektraleak","tag-exploitent","tag-exposees","tag-github","tag-iam","tag-informations","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sur","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/994372","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=994372"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/994372\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/994373"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=994372"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=994372"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=994372"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}