Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   5 минут от утечки до криптоджекинга: операция EleKtra-Leak не щадит AWS-серверы (http://txgate.io:443/showthread.php?t=9107)

Artifact 03-09-2025 05:55 AM

IAM-ключи открывают хакерам любые двери, не спасает даже карантинная политика.
https://www.securitylab.ru/upload/ib...kfztf0mw7d.jpg
Эксперты Palo Alto Networks из подразделения Unit 42 обнаружили и активно отслеживают ход новой вредоносной кампании под названием EleKtra-Leak, нацеленной на использование открыто размещённых учётных данных Amazon Web Services (AWS) в публичных репозиториях GitHub для проведения криптовалютных атак.
С декабря 2020 года киберпреступники в рамках этой кампании создали 474 уникальных экземпляра AWS Elastic Compute (EC2) для добычи криптовалюты Monero, фиксируется активность с 30 августа по 6 октября 2023 года.
Уникальность атак заключается в том, что злоумышленники умудряются сканировать GitHub на предмет IAM-ключей AWS всего за четыре минуты после их публикации. А уже через 5 минут они способны настроить процесс злонамеренного криптомайнинга на мощностях AWS. Такая скорость указывает на применение хакерами автоматизированных программных методов для мониторинга репозиториев и перехвата данных.
Сходство с другой криптоджекинговой кампанией, выявленной специалистами Intezer в январе 2021 года, привело к предположению о связи между атаками. Обе они использовали одинаковое программное обеспечение для майнинга и нацеливались на слабо защищённые сервисы Docker.
Примечательно, что злоумышленники используют слепые зоны функции сканирования секретов GitHub и политики AWS «AWSCompromisedKeyQuarantine» для злоупотребления скомпрометированными IAM-ключами и запуска экземпляров EC2.
Несмотря на то, что карантинная политика AWS применяется в течение двух минут после публикации данных на GitHub, есть подозрения, что утечка ключей происходит пока неизвестным методом, обходящим эту политику.
Злоумышленники воруют AWS-данные для проведения разведки по счетам, создания групп безопасности AWS и запуска множества экземпляров EC2 через VPN. Сами операции злонамеренного криптомайнинга выполняются на мощных инстансах типа c5a.24xlarge, что позволяет добывать больше криптовалюты в кратчайшие сроки.
Программное обеспечение для майнинга, как сообщают исследователи, загружается из URL в Google Drive, что указывает на тенденцию использования злоумышленниками доверия к известным приложениям для сокрытия своих действий.
Для предотвращения подобных инцидентов рекомендуется немедленно аннулировать API-ключи при их утечке, удалить их из репозитория GitHub и провести аудит событий клонирования репозиториев на предмет подозрительной активности.


All times are GMT. The time now is 08:59 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.