Um ator de ameaças de origem indonésia motivado financeiramente foi observado utilizando instâncias do Amazon Web Services (AWS) Elastic Compute Cloud (EC2) para realizar operações ilícitas de mineração de criptomoedas.
A empresa de segurança em nuvem Permiso P0 Labs, que detectou o grupo pela primeira vez em novembro de 2021, o apelidou de GUI-vil (pronunciado Goo-ee-vil).
"O grupo exibe preferência por ferramentas de Interface Gráfica do Usuário (GUI), especificamente o S3 Browser (versão 9.5.5) para suas operações iniciais", disse a empresa em um relatório compartilhado com o The Hacker News.
"Ao obter acesso ao Console da AWS, eles conduzem suas operações diretamente pelo navegador da web."
As cadeias de ataques montadas pelo GUI-vil envolvem a obtenção de acesso inicial por meio da utilização de chaves da AWS em repositórios de código-fonte publicamente expostos no GitHub ou através da varredura de instâncias do GitLab que são vulneráveis a falhas de execução remota de código (por exemplo,
CVE-2021-22205
).
Um ingresso bem-sucedido é seguido por uma escalada de privilégios e uma reconhecimento interno para revisar todos os buckets S3 disponíveis e determinar os serviços que são acessíveis por meio do console da AWS.
Um aspecto notável do modus operandi do ator de ameaças é sua tentativa de se misturar e persistir dentro do ambiente da vítima criando novos usuários que sigam a mesma convenção de nomenclatura e, em última análise, atinjam seus objetivos.
"O GUI-vil também criará chaves de acesso para as novas identidades que estão criando para que possam continuar usando o S3 Browser com esses novos usuários", explicaram os pesquisadores Ian Ahl e Daniel Bohannon, da P0 Labs.
Alternativamente, o grupo também foi visto criando perfis de login para usuários existentes que não os possuem para possibilitar o acesso ao console da AWS sem levantar bandeiras vermelhas.
As conexões do GUI-vil com a Indonésia decorrem do fato de que os endereços IP de origem associados às atividades estão vinculados a dois Números de Sistema Autônomo (ASNs) localizados no país do sudeste asiático.
"A missão principal do grupo, motivada financeiramente, é criar instâncias do EC2 para facilitar suas atividades de mineração de criptomoedas", disseram os pesquisadores.
"Em muitos casos, os lucros que obtêm da mineração de criptomoedas são apenas uma pequena parte dos gastos que as organizações vítimas têm que pagar pela execução das instâncias do EC2."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...