Индонезийские хакеры GUI-vil используют облачные сервисы Amazon для незаконного майнинга криптовалюты

[Artifact]

Предприимчивые преступники используют уязвимости GitLab для компрометации AWS.

Облачная компания Permiso P0 Labs обнаружила группу киберпреступников из Индонезии, которая использует сервис Amazon Web Services (AWS) Elastic Compute Cloud (EC2) для незаконного майнинга криптовалюты. Эксперты присвоили группе кодовое имя GUI-vil.
Amazon Web Services (AWS) Elastic Compute Cloud (EC2) — это веб-сервис, который предоставляет масштабируемую вычислительную мощность в облачной среде AWS. С помощью Amazon EC2 можно запускать столько виртуальных серверов, сколько необходимо, настраивать безопасность и сетевое подключение и управлять хранением данных. Amazon EC2 позволяет увеличивать или уменьшать мощность в зависимости от изменения требований или пиковой популярности.
«Группа предпочитает использовать графические интерфейсы, в частности S3 Browser (версия 9.5.5) для своих первоначальных операций. После получения доступа к AWS Console они проводят свои операции непосредственно через веб-браузер», — говорится в отчёте компании.
Схема атаки злоумышленников GUI-vil заключается в том, что они получают первичный доступ, используя AWS-ключи, размещенные в открытых репозиториях исходного кода на GitHub или сканируя уязвимые экземпляры GitLab, позволяющие выполнить удалённый код (например, CVE-2021-22205 ).
После успешного проникновения хакеры повышают свои привилегии и проводят внутреннюю разведку, чтобы определить сервисы, которые доступны им через веб-консоль AWS.
Заметной особенностью действий группировки является их попытка замаскироваться и сохраниться в среде жертвы, создавая новых пользователей, которые соответствуют используемой схеме именования, что не вызывает подозрений при беглой проверке.
«GUI-vil также создаёт ключи доступа для новых пользователей, которые они создают, чтобы продолжать использование S3 Browser с этими новыми пользователями», — объяснили исследователи P0 Labs.
Связь GUI-vil с Индонезией основана на том факте, что исходные IP-адреса, связанные с их действиями, относятся к двум автономным системам, расположенным в Юго-Восточной Азии.
«Основной миссией финансово мотивированной группировки является создание экземпляров EC2 для облегчения майнинга криптовалюты. Во многих случаях прибыль, которую они получают от майнинга криптовалюты, составляет лишь малую часть расходов организаций-жертв на запуск экземпляров EC2», — заявили исследователи.