Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Кампания криптомайнинга в AWS: компрометация IAM и обнаружение GuardDuty

3 мин
Крупная кампания по крипто-майнингу, нацеленная на облачные сервисы Amazon — EC2 и ECS, была впервые зафиксирована 2 ноября 2025 года. По данным отчета, злоумышленники в основном использовали скомпрометированные учетные данные IAM с повышенными привилегиями, что позволило им получить масштабный доступ к ресурсам и развернуть операции по майнингу на нескольких уровнях инфраструктуры. Первичный доступ злоумышленников был осуществлён с использованием скомпрометированных учетных данных IAM из аномальных сетей. Эти подозрительные подключения вызвали срабатывание системы обнаружения угроз Amazon GuardDuty, что стало отправной точкой для последующего анализа инцидента. Актеры проводили систематическое исследование окружения, в частности — проверяли квоты сервисов EC2, чтобы оценить свои возможности по развертыванию. Для оценки разрешений злоумышленники многократно вызывали API RunInstances с флагом DryRun, что позволяло им определить, какие действия разрешены, не инициируя фактическое создани
Оглавление

Крупная кампания по крипто-майнингу, нацеленная на облачные сервисы Amazon — EC2 и ECS, была впервые зафиксирована 2 ноября 2025 года. По данным отчета, злоумышленники в основном использовали скомпрометированные учетные данные IAM с повышенными привилегиями, что позволило им получить масштабный доступ к ресурсам и развернуть операции по майнингу на нескольких уровнях инфраструктуры.

Как происходил первоначальный доступ

Первичный доступ злоумышленников был осуществлён с использованием скомпрометированных учетных данных IAM из аномальных сетей. Эти подозрительные подключения вызвали срабатывание системы обнаружения угроз Amazon GuardDuty, что стало отправной точкой для последующего анализа инцидента.

Разведка и подготовка к развертыванию

Актеры проводили систематическое исследование окружения, в частности — проверяли квоты сервисов EC2, чтобы оценить свои возможности по развертыванию. Для оценки разрешений злоумышленники многократно вызывали API RunInstances с флагом DryRun, что позволяло им определить, какие действия разрешены, не инициируя фактическое создание экземпляров.

Масштаб атак и техника развертывания

  • Злоумышленники создавали многочисленные кластеры ECS — в некоторых случаях их число превышало 50.
  • Для задач майнинга они регистрировали вредоносный образ с Docker Hub через вызов RegisterTaskDefinition API.
  • Развертывание задач происходило на узлах Fargate, что позволяло скрыть деятельность внутри управляемого сервиса и упростить масштабирование майнинга.

Методы закрепления и противодействие реагированию

Одним из заметных приёмов закрепления была модификация атрибутов экземпляров EC2, отключавшая возможность их завершения через API. Это препятствовало оперативному устранению вредоносных экземпляров и защищало операции по майнингу от случайных или автоматизированных действий по ликвидации угрозы.

«Многоуровневая методология обнаружения GuardDuty доказала свою решающую роль в выявлении всех этапов цепочки атак, используя комбинацию анализа угроз и обнаружения аномалий», — отмечается в отчете.

Роль Amazon GuardDuty в обнаружении кампании

GuardDuty продемонстрировал всестороннюю эффективность, выявляя различные этапы атаки через несколько типов результатов:

  • EC2-результаты: предупреждали о подозрительном сетевом поведении, характерном для крипто-майнинга — попытки brute-force, подключения к известным вредоносным доменам и иные аномалии трафика.
  • IAM-результаты: позволяли обнаружить скомпрометированные учетные данные за счёт выявления аномального поведения пользователей, включая необычные вызовы API.
  • Runtime monitoring: давал данные с уровня хоста, подтверждающие выполнение процессов майнинга — сетевые подключения к доменам, связанным с криптографией, и непосредственное выполнение майнинг-процессов.
  • AI/ML-усиления: недавно внедрённые расширенные возможности обнаружения угроз в GuardDuty использовали искусственный интеллект и машинное обучение для сопоставления данных из нескольких источников и выявления сложных схем атак в скомпрометированных группах ресурсов EC2.

Выводы

Отчёт демонстрирует, что злоумышленники используют классические приёмы (компрометация IAM, разведка квот, регистрация вредоносных образов) в сочетании с обходными техниками (модификация атрибутов экземпляров для блокировки завершения) для надежного и масштабируемого развёртывания крипто-майнинга в облаке. Многоуровневый подход системы GuardDuty — объединяющий сетевую телеметрию, анализ активности пользователей и мониторинг на уровне хоста, усиленный AI/ML — оказался ключевым для полного обнаружения и понимания цепочки атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Кампания криптомайнинга в AWS: компрометация IAM и обнаружение GuardDuty".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.