Een nieuwe lopende campagne genaamd EleKtra-lek heeft zijn ogen gericht op blootgestelde identiteits- en toegangsbeheergegevens (IAM) van Amazon Web Service (AWS) binnen openbare GitHub-opslagplaatsen om cryptojacking-activiteiten te vergemakkelijken.
“Als gevolg hiervan kon de bedreigingsacteur die bij de campagne betrokken was, meerdere AWS Elastic Compute (EC2)-instances creëren die ze gebruikten voor uitgebreide en langdurige cryptojacking-operaties”, aldus Palo Alto Networks Unit 42-onderzoekers William Gamazo en zei Nathaniel Quist in een technisch rapport gedeeld met The Hacker News.
De operatie, die ten minste sinds december 2020 actief is, is bedoeld om tussen 30 augustus en 6 oktober 2023 Monero te minen uit maar liefst 474 unieke Amazon EC2-instanties.
Een opvallend aspect van de aanvallen is de geautomatiseerde targeting van AWS IAM-inloggegevens binnen vier minuten na hun eerste blootstelling op GitHub, wat aangeeft dat bedreigingsactoren de repositories programmatisch klonen en scannen om de blootgestelde sleutels te bemachtigen.
Er is ook waargenomen dat de tegenstander AWS-accounts op de blokkeerlijst zette die IAM-referenties publiceren in wat waarschijnlijk wordt gezien als een poging om verdere analyse te voorkomen.
Er zijn aanwijzingen dat de aanvaller mogelijk ook in verband is gebracht met een andere cryptojacking-campagne die Intezer in januari 2021 heeft onthuld en die gericht is op slecht beveiligde Docker-services met behulp van dezelfde op maat gemaakte mining-software.
Een deel van het succes van de campagne ligt in de exploitatie van blinde vlekken in de geheime scanfunctie van GitHub en het AWSCompromisedKeyQuarantine-beleid van AWS om misbruik van gecompromitteerde of blootgestelde IAM-inloggegevens te signaleren en te voorkomen om EC2-instanties uit te voeren of te starten.
Hoewel het quarantainebeleid wordt toegepast binnen twee minuten nadat de AWS-inloggegevens publiekelijk toegankelijk zijn op GitHub, wordt vermoed dat de sleutels worden vrijgegeven via een nog onbepaalde methode.
Unit 42 zei dat de “bedreigingsacteur mogelijk blootgestelde AWS-sleutels zou kunnen vinden die niet automatisch door AWS worden gedetecteerd en deze sleutels vervolgens kan controleren buiten het AWSCompromisedKeyQuarantine-beleid om.”
In de aanvalsketens die het cyberbeveiligingsbedrijf heeft ontdekt, worden de gestolen AWS-inloggegevens gebruikt om een accountverkenningsoperatie uit te voeren, gevolgd door het creëren van AWS-beveiligingsgroepen en het lanceren van meerdere EC2-instanties in verschillende regio’s vanachter een virtueel particulier netwerk (VPN).
De cryptomining-operaties worden uitgevoerd op c5a.24xlarge AWS-instanties vanwege hun hogere verwerkingskracht, waardoor de operators in kortere tijd meer cryptocurrency kunnen minen.
De miningsoftware die wordt gebruikt om cryptojacking uit te voeren, wordt opgehaald van een Google Drive-URL, waardoor een patroon van kwaadwillende actoren wordt benadrukt die gebruik maken van het vertrouwen dat geassocieerd wordt met veelgebruikte applicaties om onder de radar te blijven.
“Het type Amazon Machine Images (AMI) dat de bedreigingsacteur gebruikte, was ook onderscheidend”, aldus de onderzoekers. “De geïdentificeerde afbeeldingen waren privé en stonden niet vermeld op de AWS Marketplace.”
Om dergelijke aanvallen tegen te gaan, wordt organisaties die per ongeluk AWS IAM-referenties vrijgeven aanbevolen om alle API-verbindingen die gebruik maken van de sleutels onmiddellijk in te trekken, deze uit de GitHub-repository te verwijderen en de kloongebeurtenissen van de GitHub-repository te controleren op verdachte bewerkingen.
“De dreigingsactor kan een volledige mining-operatie detecteren en starten binnen vijf minuten vanaf het moment dat een AWS IAM-referentie wordt vrijgegeven in een openbare GitHub-repository”, aldus de onderzoekers. “Ondanks het succesvolle AWS-quarantainebeleid handhaaft de campagne voortdurende fluctuaties in het aantal en de frequentie van gecompromitteerde slachtofferaccounts.”
