-1.webp "Bilgisayar korsanları 5 dakika içinde GitHub'dan AWS kimlik bilgilerini almayı başardı")
Son raporlar, EleKtra-Leak adı altında yeni bir kampanyanın, GitHub’da halka açık hale geldikten birkaç dakika sonra AWS IAM (Kimlik ve Erişim Yönetimi) kimlik bilgilerini hedef aldığının tespit edildiğini gösteriyor.
Bu, güvenliği ihlal edilmiş AWS hesapları aracılığıyla kripto hırsızlığı etkinlikleri gerçekleştirmek için yapılır.
Tehdit aktörleri, kapsamı daha geniş tutmak ve cryptojacking saldırılarının kalıcılığını sürdürmek için birden fazla Amazon EC2 bulut sunucusu kullanıyordu. Bu operasyonun 2020’den beri aktif olduğu ve özellikle Monero madenciliğini hedef aldığı bildirildi.
Ayrıca Ağustos ve Ekim 2023 arasında Monero madenciliği yapan 474 benzersiz Amazon EC2 örneğinin bulunduğu belirtildi.
GitHub Depolarının Otomatik Taranması
Saldırılarının sıklığının ve hızının dört dakika içinde olduğu tespit edildi; bu, tehdit aktörlerinin açığa çıkan AWS IAM kimlik bilgilerini klonlamak ve almak için GitHub’daki otomatik tarayıcıları kullandığını gösteriyor.
Ayrıca tehdit aktörlerinin, 2021’de gerçekleştirilen ve aynı yazılımı kullanan daha az güvenli Docker hizmetlerini hedef alan başka bir cryptojacking kampanyasıyla da bağlantılı olduğu görülüyor.
Ancak tehdit aktörlerinin GitHub’un gizli tarama özelliğinde ve AWSCompromisedKeyQuarantine Politikasında boşluklar buldukları da belirtildi.
AWSCompromisedKeyQuarantine Politikası, AWS kimlik bilgilerinin GitHub’da kamuya açıklanmasından sonraki iki dakika içinde uygulanır; bu, tehdit aktörlerinin açığa çıkan anahtarları bulmak için yararlandığı tanımlanamayan bir yöntemin de bulunduğunu gösterir.
Kripto Madenciliği Operasyonu
Açığa çıkan ve çalınan bu kimlik bilgileri daha sonra ilk bilgi toplama işlemini gerçekleştirmek için kullanılır ve bunu birden çok bölgede birçok EC2 örneğini başlatmak için yeni bir AWS güvenlik grubu oluşturulur ve bu, Sanal Özel Ağın (VPN) arkasında kalır.
Ayrıca kripto madenciliği operasyonu, kısa sürede daha fazla kripto madencilik işleminin gerçekleştirilmesine olanak sağlayan yüksek işlem gücüne sahip c5a.24xlarge EC2 bulut sunucusu kullanılarak gerçekleştirildi.
Bu saldırıya ilişkin, saldırı, yararlanma yöntemi ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Palo Alto Birim 42 tarafından tam bir rapor yayınlandı.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.