يحذر فريق أمان AWS GuardDuty من Amazon من حملة تعدين العملات المشفرة المستمرة التي تستهدف سحابة الحوسبة المرنة (EC2) وخدمة الحاويات المرنة (ECS) باستخدام بيانات اعتماد مخترقة لإدارة الهوية والوصول (IAM).
بدأت العملية في الثاني من نوفمبر واستخدمت آلية استمرار أدت إلى تمديد عمليات التعدين وأعاقت المستجيبين للحوادث.
استخدم ممثل التهديد صورة Docker Hub التي تم إنشاؤها في نهاية شهر أكتوبر، وتضمنت أكثر من 100000 عملية سحب.
“https://www.bleepstatic.com/content/webinar-images/Action1-970×250-watch-now.jpg” البديل=”Wiz”>
تتيح خدمة Amazon EC2 للمستخدمين تشغيل الأجهزة الافتراضية في AWS، بينما تسمح خدمة ECS بتشغيل التطبيقات الموجودة في حاويات (مثل تطبيقات Docker) على النظام الأساسي السحابي.
إن زرع عمال تعدين العملات المشفرة في هذه الحالات يسمح للجهات التهديدية بتحقيق الربح المالي على حساب عملاء AWS وأمازون، الذين يجب أن يتحملوا عبء استنفاد الموارد الحسابية.
تقول أمازون إن المهاجم لم يستغل الثغرة الأمنية ولكنه استخدم بيانات اعتماد صالحة في حسابات العملاء.
عمليات التعدين التشفير
قالت AWS في تقرير صدر اليوم إن المهاجم بدأ في تعدين العملات المشفرة خلال 10 دقائق من الوصول الأولي، بعد استطلاع حصص خدمة EC2 وأذونات IAM.
كان هذا ممكنًا من خلال تسجيل تعريف المهمة الذي يشير إلى صورة Docker Hub yenik65958/secret، الذي تم إنشاؤه في 29 أكتوبر، والذي يتضمن أداة تشفير SBRMiner-MULTI وبرنامج نصي لبدء التشغيل لتشغيله تلقائيًا عند بدء تشغيل الحاوية.
تم تكوين كل مهمة بـ 16,384 وحدة معالجة مركزية وذاكرة سعة 32 جيجابايت، وتم تعيين العدد المطلوب لمهام ECS Fargate على 10.
المصدر: أمازون
في Amazon EC2، أنشأ المهاجم نموذجي إطلاق يحتويان على نصوص برمجية لبدء التشغيل والتي بدأت عملية تعدين العملات المشفرة تلقائيًا، إلى جانب 14 مجموعة قابلة للتوسيع التلقائي تم تكوينها لنشر ما لا يقل عن 20 مثيلًا لكل منها، بسعة قصوى تصل إلى 999 جهازًا.
طريقة الثبات الجديدة
بمجرد تشغيل الأجهزة، قام المهاجم بتمكين إعداد يمنع المسؤولين من إنهائها عن بعد، مما يجبر المستجيبين على تعطيل الحماية بشكل صريح قبل إيقاف تشغيلها. من المحتمل أن يكون هذا قد تم تقديمه لتأخير الاستجابة وتعظيم أرباح العملات المشفرة.
“An interesting technique observed in this campaign was the threat actor’s use of ModifyInstanceAttribute across all launched EC2 instances to disable API termination,”أمازون”https://aws.amazon.com/blogs/security/cryptomining-campaign-targeting-amazon-ec2-and-amazon-ecs/” الهدف=”_blank” rel=”nofollow noopener”> يشرح.
“Although instance termination protection prevents accidental termination of the instance, it adds an additional consideration for incident response capabilities and can disrupt automated remediation controls,” تقول الشركة.
بعد تحديد الحملة، قامت أمازون بتنبيه العملاء المتأثرين بشأن نشاط تعدين العملات المشفرة والحاجة إلى تدوير بيانات اعتماد IAM المخترقة.
صرح متحدث باسم أمازون لـ BleepingComputer بما يلي: “AWS proactively identified this ongoing campaign and quickly alerted customers to the threat.”
كما تمت إزالة صورة Docker Hub الضارة من النظام الأساسي، لكن أمازون تحذر من أن جهة التهديد قد تنشر صورًا مماثلة بأسماء وحسابات ناشرين مختلفة.
قم بتفكيك صوامع IAM مثل Bitpanda وKnowBe4 وPathAI
إن تعطل IAM لا يمثل مجرد مشكلة تتعلق بتكنولوجيا المعلومات – بل يمتد التأثير عبر عملك بالكامل.
يغطي هذا الدليل العملي سبب فشل ممارسات IAM التقليدية في مواكبة المتطلبات الحديثة، وأمثلة على ذلك “good” تبدو IAM وكأنها قائمة مرجعية بسيطة لبناء استراتيجية قابلة للتطوير.