Er is een voortdurende campagne waargenomen die zich richt op klanten van Amazon Web Services (AWS) die gecompromitteerde identiteits- en toegangsbeheergegevens (IAM) gebruiken om cryptocurrency-mining mogelijk te maken.
De activiteit, die op 2 november 2025 voor het eerst werd ontdekt door Amazon’s door GuardDuty beheerde dreigingsdetectiedienst en zijn geautomatiseerde beveiligingsmonitoringsystemen, maakt gebruik van nooit eerder vertoonde persistentietechnieken om de respons op incidenten te belemmeren en ongehinderd door te gaan, volgens een nieuw rapport dat vóór publicatie door de technologiegigant wordt gedeeld.
“Opererend vanuit een externe hostingprovider heeft de bedreigingsacteur snel bronnen en machtigingen opgesomd voordat hij cryptominingbronnen in ECS en EC2 inzette”, aldus Amazon. “Binnen 10 minuten nadat de bedreigingsacteur de eerste toegang had verkregen, waren cryptominers operationeel.”
De uit meerdere fasen bestaande aanvalsketen begint in wezen met de onbekende tegenstander die gecompromitteerde IAM-gebruikersreferenties met beheerdersrechten gebruikt om een ontdekkingsfase te initiëren die is ontworpen om de omgeving te onderzoeken op EC2-servicequota en hun machtigingen te testen door de RunInstances API aan te roepen met de vlag “DryRun” ingesteld.
Het inschakelen van de “DryRun”-vlag is cruciaal en opzettelijk, omdat het de aanvallers in staat stelt hun IAM-machtigingen te valideren zonder daadwerkelijk instances te starten, waardoor wordt vermeden dat er kosten worden gemaakt en hun forensische spoor wordt geminimaliseerd. Het einddoel van de stap is om te bepalen of de doelinfrastructuur geschikt is voor het inzetten van het mijnbouwprogramma.
De infectie gaat door naar de volgende fase wanneer de bedreigingsacteur CreateServiceLinkedRole en CreateRole aanroept om IAM-rollen te creëren voor respectievelijk autoscaling-groepen en AWS Lambda. Zodra de rollen zijn gemaakt, wordt het beleid ‘AWSLambdaBasicExecutionRole’ aan de Lambda-rol gekoppeld.
Uit de tot nu toe waargenomen activiteit blijkt dat de bedreigingsacteur tientallen ECS-clusters in de omgeving heeft gecreëerd, in sommige gevallen meer dan 50 ECS-clusters in één enkele aanval.
“Ze belden vervolgens RegisterTaskDefinition met een kwaadaardige DockerHub-image yenik65958/secret:user”, aldus Amazon. “Met dezelfde string die werd gebruikt voor het maken van het cluster, creëerde de acteur vervolgens een service, waarbij hij de taakdefinitie gebruikte om cryptomining op ECS Fargate-knooppunten te initiëren.”
De DockerHub-image, die inmiddels is verwijderd, is geconfigureerd om een shellscript uit te voeren zodra deze wordt ingezet om cryptocurrency-mining te starten met behulp van het RandomVIREL-miningalgoritme. Bovendien is waargenomen dat de bedreigingsacteur autoschalingsgroepen creëert die zijn ingesteld op schaal van 20 tot 999 exemplaren in een poging om EC2-servicequota te exploiteren en het hulpbronnengebruik te maximaliseren.
De EC2-activiteit was gericht op zowel krachtige GPU- en machine learning-instanties als reken-, geheugen- en algemene instanties.
Wat deze campagne uniek maakt, is het gebruik van de actie ModifyInstanceAttribute waarbij de parameter ‘disableApiTermination’ is ingesteld op ‘True’, waardoor wordt voorkomen dat een instantie wordt beëindigd via de Amazon EC2-console, opdrachtregelinterface of API. Dit heeft op zijn beurt tot gevolg dat slachtoffers de beëindiging van de API opnieuw moeten inschakelen voordat de getroffen bronnen worden verwijderd.
“Bescherming tegen het beëindigen van instances kan de responsmogelijkheden op incidenten aantasten en geautomatiseerde herstelcontroles verstoren”, aldus Amazon. “Deze techniek demonstreert een goed begrip van gemeenschappelijke beveiligingsreactieprocedures en de intentie om de duur van mijnbouwactiviteiten te maximaliseren.”
Dit is niet de eerste keer dat het beveiligingsrisico dat gepaard gaat met ModifyInstanceAttribute aan het licht komt. In april 2024 demonstreerde beveiligingsonderzoeker Harsha Koushik een proof-of-concept (PoC) waarin gedetailleerd werd beschreven hoe de actie kan worden misbruikt om instances over te nemen, de inloggegevens van de instancerol te exfiltreren en zelfs de controle over het gehele AWS-account over te nemen.
Bovendien omvatten de aanvallen de creatie van een Lambda-functie die kan worden aangeroepen door elke opdrachtgever en een IAM-gebruiker “user-x1x2x3x4” waaraan het door AWS beheerde beleid “AmazonSESFullAccess” is gekoppeld, waardoor de tegenstander volledige toegang krijgt tot de Amazon Simple Email Service (SES) om waarschijnlijk phishing-aanvallen uit te voeren.
Om zich tegen de dreiging te beschermen, dringt Amazon er bij AWS-klanten op aan de onderstaande stappen te volgen:
- Dwing sterke identiteits- en toegangscontroles af
- Implementeer tijdelijke inloggegevens in plaats van toegangssleutels voor de lange termijn
- Gebruik multifactorauthenticatie (MFA) voor alle gebruikers
- Pas het principe van least privilege (PoLP) toe op IAM-principals om de toegang te beperken
- Voeg containerbeveiligingscontroles toe om te scannen op verdachte afbeeldingen
- Bewaak ongebruikelijke CPU-toewijzingsverzoeken in ECS-taakdefinities
- Gebruik AWS CloudTrail om gebeurtenissen in AWS-services te loggen
- Zorg ervoor dat AWS GuardDuty is ingeschakeld om geautomatiseerde responsworkflows te vergemakkelijken
“Het gescripte gebruik van meerdere computerdiensten door de bedreigingsacteur, in combinatie met opkomende persistentietechnieken, vertegenwoordigt een aanzienlijke vooruitgang in aanvalsmethoden voor cryptomining.”
