Notice: Undefined index: static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: parent_static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: parent_static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: parent_static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: parent_static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: parent_static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: parent_static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: parent_static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: parent_static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113

Notice: Undefined index: parent_static_name in /var/www/vhosts/xn--80aaabumq4ahcizcaod0o.xn--p1ai/httpdocs/common/main_functions.php on line 113
5 минут от утечки до криптоджекинга: операция EleKtra-Leak не щадит AWS-серверы

Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
01.11.2023

5 минут от утечки до криптоджекинга: операция EleKtra-Leak не щадит AWS-серверы

Эксперты Palo Alto Networks из подразделения Unit 42 обнаружили и активно отслеживают ход новой вредоносной кампании под названием EleKtra-Leak, нацеленной на использование открыто размещённых учётных данных Amazon Web Services ( AWS ) в публичных репозиториях GitHub для проведения криптовалютных атак.

С декабря 2020 года киберпреступники в рамках этой кампании создали 474 уникальных экземпляра AWS Elastic Compute ( EC2 ) для добычи криптовалюты Monero , фиксируется активность с 30 августа по 6 октября 2023 года.

Уникальность атак заключается в том, что злоумышленники умудряются сканировать GitHub на предмет IAM -ключей AWS всего за четыре минуты после их публикации. А уже через 5 минут они способны настроить процесс злонамеренного криптомайнинга на мощностях AWS. Такая скорость указывает на применение хакерами автоматизированных программных методов для мониторинга репозиториев и перехвата данных.

Сходство с другой криптоджекинговой кампанией, выявленной специалистами Intezer в январе 2021 года, привело к предположению о связи между атаками. Обе они использовали одинаковое программное обеспечение для майнинга и нацеливались на слабо защищённые сервисы Docker .

Примечательно, что злоумышленники используют слепые зоны функции сканирования секретов GitHub и политики AWS «AWSCompromisedKeyQuarantine» для злоупотребления скомпрометированными IAM-ключами и запуска экземпляров EC2.

Несмотря на то, что карантинная политика AWS применяется в течение двух минут после публикации данных на GitHub, есть подозрения, что утечка ключей происходит пока неизвестным методом, обходящим эту политику.

Злоумышленники воруют AWS-данные для проведения разведки по счетам, создания групп безопасности AWS и запуска множества экземпляров EC2 через VPN . Сами операции злонамеренного криптомайнинга выполняются на мощных инстансах типа c5a.24xlarge, что позволяет добывать больше криптовалюты в кратчайшие сроки.

Программное обеспечение для майнинга, как сообщают исследователи, загружается из URL в Google Drive , что указывает на тенденцию использования злоумышленниками доверия к известным приложениям для сокрытия своих действий.

Для предотвращения подобных инцидентов рекомендуется немедленно аннулировать API -ключи при их утечке, удалить их из репозитория GitHub и провести аудит событий клонирования репозиториев на предмет подозрительной активности.