A equipe de segurança do AWS GuardDuty, da Amazon, alertou para uma campanha em andamento de crypto-mineração que ataca os serviços Elastic Compute Cloud (EC2) e Elastic Container Service (ECS) por meio do uso de credenciais comprometidas do Identity and Access Management (IAM).
A operação teve início em 2 de novembro e adotou um mecanismo de persistência que prolongava a mineração, dificultando a resposta das equipes de segurança.
Os atacantes utilizaram uma imagem do Docker Hub criada no final de outubro, que já acumulava mais de 100 mil downloads.
O Amazon EC2 permite aos usuários rodar máquinas virtuais na nuvem da AWS, enquanto o ECS facilita a execução de aplicações conteinerizadas, como as baseadas em Docker.
Ao instalar crypto-miners nessas instâncias, os criminosos digitais lucram às custas dos clientes da AWS e da própria Amazon, que arcam com os custos relacionados ao uso excessivo dos recursos computacionais.
Segundo a Amazon, os atacantes não exploraram vulnerabilidades no sistema, mas utilizaram credenciais legítimas de contas de clientes.
Em relatório recente, a AWS detalhou que o invasor iniciou a mineração em até dez minutos após o acesso inicial, após fazer um reconhecimento das cotas do serviço EC2 e das permissões IAM.
A ação ocorreu por meio do registro de uma definição de tarefa que apontava para a imagem “yenik65958/secret” no Docker Hub, criada em 29 de outubro.
Essa imagem continha o minerador SBRMiner-MULTI e um script de inicialização para ativá-lo automaticamente ao iniciar o container.
Cada tarefa foi configurada com 16.384 unidades de CPU e 32 GB de memória, e o número desejado de execuções para as tarefas ECS Fargate era 10.
No ambiente EC2, o invasor criou dois templates de inicialização com scripts para ativar a mineração automaticamente, além de 14 grupos de auto scaling configurados para implantar pelo menos 20 instâncias cada, com potencial para alcançar até 999 máquinas.
Após a ativação das máquinas, o invasor habilitou uma configuração que impede administradores de encerrá-las remotamente, obrigando a equipe de resposta a desabilitar manualmente essa proteção antes do shutdown.
Essa tática, aparentemente, foi usada para atrasar o processo de contenção e maximizar os lucros da mineração.
“A técnica interessante observada nessa campanha foi o uso do comando ModifyInstanceAttribute em todas as instâncias EC2 lançadas para desabilitar a terminação via API”, explicou a Amazon.
“O recurso de proteção contra encerramento acidental adiciona uma camada extra para resposta a incidentes e pode dificultar o uso de ferramentas automatizadas de remediação”, complementou a empresa.
Após identificar a campanha, a Amazon notificou os clientes afetados sobre a atividade maliciosa e recomendou a troca imediata das credenciais IAM comprometidas.
Além disso, a imagem maliciosa no Docker Hub foi removida, mas a Amazon alerta que os atacantes podem criar imagens semelhantes com nomes ou contas diferentes para dar continuidade à operação.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...