Endonezya kökenli, finansal olarak motive olmuş bir tehdit aktörünün, yasa dışı kripto madenciliği operasyonlarını yürütmek için Amazon Web Services (AWS) Elastic Compute Cloud (EC2) bulut sunucularından yararlandığı gözlemlendi.
Grubu ilk olarak Kasım 2021’de tespit eden bulut güvenlik şirketi Permiso P0 Labs, gruba takma ad atadı GUI olacak (Goo-ee-vil olarak telaffuz edilir).
Şirket, The Hacker News ile paylaştığı bir raporda, “Grup, ilk işlemleri için Grafik Kullanıcı Arayüzü (GUI) araçlarını, özellikle S3 Tarayıcısını (sürüm 9.5.5) tercih ediyor.” Dedi. “AWS Konsolu erişimi elde ettikten sonra, işlemlerini doğrudan web tarayıcısı üzerinden yürütürler.”
GUI-vil tarafından kurulan saldırı zincirleri, AWS anahtarlarını GitHub’daki herkese açık kaynak kodu havuzlarında silah haline getirerek veya uzaktan kod yürütme kusurlarına (örn. CVE-2021-22205) açık olan GitLab bulut sunucularını tarayarak ilk erişimin elde edilmesini gerektirir.
Başarılı bir girişi, ayrıcalık yükseltme ve mevcut tüm S3 gruplarını gözden geçirmek ve AWS web konsolu üzerinden erişilebilen hizmetleri belirlemek için dahili bir keşif takip eder.
Tehdit aktörünün çalışma tarzının dikkate değer bir yönü, aynı adlandırma kuralına uyan ve nihai olarak hedeflerini karşılayan yeni kullanıcılar yaratarak kurban ortamına uyum sağlama ve bu ortamda varlığını sürdürme girişimidir.
Şirket, “GUI-vil ayrıca oluşturdukları yeni kimlikler için erişim anahtarları oluşturacak, böylece bu yeni kullanıcılarla S3 Tarayıcısını kullanmaya devam edebilecekler.”
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Alternatif olarak, grubun, kırmızı bayraklar yükseltmeden AWS konsoluna erişimi sağlamak için bunlara sahip olmayan mevcut kullanıcılar için oturum açma profilleri oluşturduğu da tespit edildi.
GUI-vil’in Endonezya ile olan bağlantıları, faaliyetlerle ilişkili kaynak IP adreslerinin Güneydoğu Asya ülkesinde bulunan iki Özerk Sistem Numarasına (ASN) bağlı olmasından kaynaklanmaktadır.
Araştırmacılar, “Grubun finansal olarak yönlendirilen birincil görevi, kripto madenciliği faaliyetlerini kolaylaştırmak için EC2 bulut sunucuları oluşturmaktır” dedi. “Birçok durumda kripto madenciliğinden elde ettikleri karlar, kurban kuruluşların EC2 bulut sunucularını çalıştırmak için ödemek zorunda oldukları masrafın sadece bir kısmıdır.”