یک کمپین جدید با نام EleKtra-Leak از سرویس مدیریت هویت و دسترسی (identity and access management) وب سرویس آمازون (Amazon Web Service)، که در مخازن عمومی GitHub مورد استفاده قرار میگیرد، جهت تسهیل فعالیتهای کریپتوجک بهرهبرداری میکند. در این نوع از حملات از ماینرها برای انجام فعالیتهای مخرب بهرهبرداری میشود.
محققین شرکت Palo Alto Networks با اعلام خبر بهرهبرداری از سرویس AWS IAM اعلام کردهاند که در نتیجه این سوء استفاده، مهاجم قادر به ایجاد چندین نمونه AWS Elastic Compute (EC2) بوده و از آنها برای عملیاتهای طولانی مدت کریپتوجک استفاده کرده است. این عملیات که حداقل از دسامبر 2020 فعال است، برای استخراج Monero از 474 نمونه منحصر به فرد EC2 آمازون بین 30 آگوست تا 6 اکتبر 2023 طراحی شده است. بخشی از موفقیت حمله اخیر به دلیل بهرهبرداری در ویژگی اسکن مخفی GitHub و سیاست AWSCompromisedKeyQuarantine است که برای جلوگیری از سوء استفاده یا در معرض خطر قرار گرفتن اعتبار IAM در اجرا یا راهاندازی نمونههای EC2 مورد استفاده قرار میگیرد.
یکی از جنبههای مهم حملات، هدفگیری خودکار اعتبارنامههای AWS IAM در عرض چهار دقیقه پس از در معرض دید قرار گرفتن اولیه آنها در GitHub است که نشان میدهد مهاجمان به صورت برنامهریزی شدهای، مخازن را بررسی میکنند تا کلیدهای در معرض دید را به دست آوردند. همچنین مشاهده شده است که مهاجم در تلاشی برای جلوگیری از تجزیه و تحلیل بیشتر، حسابهای AWS را در فهرست موارد بلاکشده قرار میدهد تا اعتبارنامههای IAM را منتشر کند.
شواهدی وجود دارد که نشان میدهد مهاجم ممکن است با یک کمپین کریپتوجک دیگر که توسط Intezer در ژانویه 2021 فاش شده بود، در ارتباط باشد. این کمپین سرویسهای Docker با امنیت ضعیف را با استفاده از همان نرمافزار استخراج سفارشی مورد هدف قرار داده بود.
همچنین مهاجم ممکن است بتواند کلیدهای AWS در معرض دید که به طور خودکار توسط AWS شناسایی نمیشوند را پیدا کرده و متعاقباً این کلیدها را خارج از خط مشی AWSCompromisedKeyQuarantine کنترل کند. در زنجیرههای حمله کشفشده، اعتبارنامههای AWS به سرقت رفته برای انجام عملیات شناسایی حساب کاربری و به دنبال آن ایجاد گروههای امنیتی AWS و راهاندازی چندین نمونه EC2 در مناطق مختلف، از طریق یک VPN، استفاده شده است.
محصولات تحت تاثیر
حمله اخیر حاکی از بهرهبرداری از اعتبارنامههای IAM سرویس AWS در GitHub میباشد. به این ترتیب امکان بهرهبرداری از نمونههای c5a.24xlarge AWS نیز فراهم میآید. این نمونهها به دلیل داشتن توان پردازش بالا، امکان استخراج رمزارزها را در فاصله زمانی کوتاه فراهم میآورند.
توصیههای امنیتی
برای کاهش چنین حملاتی، به سازمانهایی که بهطور تصادفی اعتبارنامههای AWS IAM را افشا میکنند، توصیه میشود که فوراً اتصالهای API مورد استفاده کلیدها را لغو، آنها را از GitHub repository حذف کنند و رویدادهای شبیهسازی GitHub repository را برای هرگونه عملیات مشکوک بررسی نمایند.
منابع خبر:
[1] https://thehackernews.com/2023/10/elektra-leak-cryptojacking-attacks.html
[2] https://www.darkreading.com/cloud/elektra-leak-attackers-harvest-aws-cloud-keys-github-campaign
[3] https://unit42.paloaltonetworks.com/malicious-operations-of-exposed-iam-keys-cryptojacking/
- 43