Kripto para madenciliğini etkinleştirmek için güvenliği ihlal edilmiş Kimlik ve Erişim Yönetimi (IAM) kimlik bilgilerini kullanan Amazon Web Services (AWS) müşterilerini hedef alan devam eden bir kampanya gözlemlendi.
Teknoloji devi tarafından yayınlanmadan önce paylaşılan yeni bir rapora göre, Amazon’un GuardDuty tarafından yönetilen tehdit algılama hizmeti ve otomatik güvenlik izleme sistemleri tarafından ilk kez 2 Kasım 2025’te tespit edilen etkinlik, olaylara müdahaleyi engellemek ve engellenmeden devam etmek için daha önce hiç görülmemiş kalıcılık teknikleri kullanıyor.
Amazon, “Harici bir barındırma sağlayıcısından çalışan tehdit aktörü, kripto madenciliği kaynaklarını ECS ve EC2’ye dağıtmadan önce kaynakları ve izinleri hızla sıraladı” dedi. “Tehdit aktörünün ilk erişim elde etmesinden sonraki 10 dakika içinde kripto madencileri faaliyete geçti.”
Çok aşamalı saldırı zinciri, temel olarak, bilinmeyen bir saldırganın, ortamı EC2 hizmet kotaları için araştırmak ve RunInstances API’sini “DryRun” bayrak seti ile çağırarak izinlerini test etmek üzere tasarlanmış bir keşif aşamasını başlatmak için yönetici benzeri ayrıcalıklara sahip, güvenliği ihlal edilmiş IAM kullanıcı kimlik bilgilerinden yararlanmasıyla başlar.
“DryRun” bayrağının bu şekilde etkinleştirilmesi çok önemli ve kasıtlıdır çünkü saldırganların, örnekleri başlatmadan IAM izinlerini doğrulamasını sağlar, böylece maliyetlerin yükselmesini önler ve adli takiplerini en aza indirir. Adımın nihai hedefi, hedef altyapının madenci programının dağıtımı için uygun olup olmadığını belirlemektir.
Tehdit aktörü otomatik ölçeklendirme grupları ve AWS Lambda için IAM rolleri oluşturmak üzere CreateServiceLinkedRole ve CreateRole’u çağırdığında enfeksiyon bir sonraki aşamaya geçer. Roller oluşturulduktan sonra “AWSLambdaBasicExecutionRole” politikası Lambda rolüne eklenir.
Bugüne kadar gözlemlenen etkinlikte, tehdit aktörünün ortam genelinde düzinelerce ECS kümesi oluşturduğu, bazı durumlarda tek bir saldırıda 50 ECS kümesini aştığı söyleniyor.
Amazon, “Daha sonra kötü amaçlı bir DockerHub görüntüsü yenik65958/secret:user ile RegisterTaskDefinition’ı çağırdılar” dedi. “Küme oluşturma için kullanılan dizeyle aktör daha sonra ECS Fargate düğümlerinde kripto madenciliğini başlatmak için görev tanımını kullanarak bir hizmet oluşturdu.”
O zamandan beri kaldırılan DockerHub görüntüsü, RandomVIREL madencilik algoritmasını kullanarak kripto para birimi madenciliğini başlatmak üzere konuşlandırıldığı anda bir kabuk betiği çalıştıracak şekilde yapılandırılmıştır. Ek olarak, tehdit aktörünün EC2 hizmet kotalarından yararlanmak ve kaynak tüketimini en üst düzeye çıkarmak amacıyla 20 örnekten 999 örneğe kadar ölçeklendirilecek otomatik ölçeklendirme grupları oluşturduğu gözlemlendi.
EC2 etkinliği hem yüksek performanslı GPU ve makine öğrenimi örneklerini hem de bilgi işlem, bellek ve genel amaçlı örnekleri hedef aldı.
Bu kampanyayı diğerlerinden farklı kılan şey, bir örneğin Amazon EC2 konsolu, komut satırı arayüzü veya API kullanılarak sonlandırılmasını önleyen “disableApiTermination” parametresi “True” olarak ayarlanmış ModifyInstanceAttribute eyleminin kullanılmasıdır. Bu da mağdurların, etkilenen kaynakları silmeden önce API sonlandırmayı yeniden etkinleştirmelerini gerektirme etkisine sahiptir.
Amazon, “Örnek sonlandırma koruması, olaya müdahale yeteneklerini zayıflatabilir ve otomatik iyileştirme kontrollerini bozabilir” dedi. “Bu teknik, ortak güvenlik müdahale prosedürlerinin anlaşıldığını ve madencilik operasyonlarının süresini en üst düzeye çıkarma niyetini gösteriyor.”
Bu, ModifyInstanceAttribute ile ilişkili güvenlik riskinin ilk kez gün yüzüne çıkması değil. Nisan 2024’te güvenlik araştırmacısı Harsha Koushik, örnekleri ele geçirmek, örnek rolü kimlik bilgilerini çalmak ve hatta tüm AWS hesabının kontrolünü ele geçirmek için eylemin nasıl kötüye kullanılabileceğini ayrıntılı olarak açıklayan bir kavram kanıtını (PoC) gösterdi.
Ayrıca saldırılar, herhangi bir sorumlu tarafından çağrılabilen bir Lambda işlevinin oluşturulmasını ve AWS tarafından yönetilen “AmazonSESFullAccess” politikasının eklendiği “user-x1x2x3x4” IAM kullanıcısı tarafından çağrılmasını gerektirir ve bu da, düşmana kimlik avı saldırıları gerçekleştirmesi için Amazon Basit E-posta Hizmeti (SES) üzerinden tam erişim sağlar.
Amazon, tehdide karşı korunmak için AWS müşterilerini aşağıdaki adımları takip etmeye çağırıyor:
- Güçlü kimlik ve erişim yönetimi kontrollerini zorunlu kılın
- Uzun vadeli erişim anahtarları yerine geçici kimlik bilgileri uygulayın
- Tüm kullanıcılar için çok faktörlü kimlik doğrulamayı (MFA) kullanın
- Erişimi kısıtlamak için IAM sorumlularına en az ayrıcalık ilkesini (PoLP) uygulayın
- Şüpheli görüntüleri taramak için kapsayıcı güvenlik kontrolleri ekleyin
- ECS görev tanımlarında olağandışı CPU tahsis isteklerini izleyin
- AWS hizmetlerindeki etkinlikleri günlüğe kaydetmek için AWS CloudTrail’i kullanın
- Otomatik yanıt iş akışlarını kolaylaştırmak için AWS GuardDuty’nin etkinleştirildiğinden emin olun
“Tehdit aktörünün birden fazla bilgi işlem hizmetini senaryolu kullanımı, ortaya çıkan kalıcılık teknikleriyle birlikte, kripto madenciliği saldırı metodolojilerinde önemli bir ilerlemeyi temsil ediyor.”