Ngày 22 tháng 5 năm 2023Ravie Lakshmanan Tiền điện tử / bảo mật đám mây
Một tác nhân đe dọa có động cơ tài chính có nguồn gốc từ Indonesia đã được quan sát thấy tận dụng các phiên bản Đám mây điện toán đàn hồi (EC2) của Amazon Web Services (AWS) để thực hiện các hoạt động khai thác tiền điện tử bất hợp pháp.
Phòng thí nghiệm Permiso P0 của công ty bảo mật đám mây, lần đầu tiên phát hiện ra nhóm này vào tháng 11 năm 2021, đã đặt biệt danh cho nhóm này GUI-vil (phát âm là Goo-ee-vil).
“Nhóm hiển thị tùy chọn cho các công cụ Giao diện người dùng đồ họa (GUI), cụ thể là Trình duyệt S3 (phiên bản 9.5.5) cho các hoạt động ban đầu của họ”, công ty cho biết trong một báo cáo được chia sẻ với The Hacker News. “Sau khi có quyền truy cập Bảng điều khiển AWS, họ tiến hành các hoạt động của mình trực tiếp thông qua trình duyệt web.”
Các chuỗi tấn công do GUI-vil gắn kết đòi hỏi phải có được quyền truy cập ban đầu bằng cách vũ khí hóa các khóa AWS trong kho lưu trữ mã nguồn được hiển thị công khai trên GitHub hoặc quét các phiên bản GitLab dễ bị tấn công bởi lỗi thực thi mã từ xa (ví dụ: CVE-2021-22205).
Sau khi xâm nhập thành công, leo thang đặc quyền và theo dõi nội bộ để xem xét tất cả các bộ chứa S3 có sẵn và xác định các dịch vụ có thể truy cập thông qua bảng điều khiển web AWS.
Một khía cạnh đáng chú ý trong phương thức hoạt động của tác nhân đe dọa là nỗ lực hòa nhập và tồn tại trong môi trường nạn nhân bằng cách tạo người dùng mới tuân theo cùng một quy ước đặt tên và cuối cùng đáp ứng các mục tiêu của nó.
“GUI-vil cũng sẽ tạo khóa truy cập cho danh tính mới mà họ đang tạo để họ có thể tiếp tục sử dụng Trình duyệt S3 với những người dùng mới này”, công ty giải thích.
Ngoài ra, nhóm này cũng đã bị phát hiện tạo hồ sơ đăng nhập cho những người dùng hiện tại không có hồ sơ để cho phép truy cập vào bảng điều khiển AWS mà không cần treo cờ đỏ.
Các liên kết của GUI-vil đến Indonesia xuất phát từ thực tế là các địa chỉ IP nguồn liên quan đến các hoạt động được liên kết với hai Số hệ thống tự trị (ASN) nằm ở quốc gia Đông Nam Á.
Các nhà nghiên cứu cho biết: “Nhiệm vụ chính của nhóm, được thúc đẩy về mặt tài chính, là tạo ra các phiên bản EC2 để tạo điều kiện thuận lợi cho các hoạt động khai thác tiền điện tử của họ”. “Trong nhiều trường hợp, lợi nhuận họ kiếm được từ việc khai thác tiền điện tử chỉ là một phần chi phí mà các tổ chức nạn nhân phải trả để chạy các phiên bản EC2.”
