ハッカーがAmazon Bedrockに接続されたAWS AIゲートウェイを侵害、XMRig暗号資産マイナーを展開

Amazon Bedrockに連携するAIゲートウェイが侵害された事案が明らかになり、生成AIインフラが企業の攻撃対象領域における新たな標的となっている実態が浮き彫りになりました。

この事案は2026年7月9日に公表されたもので、攻撃者がLiteLLM-ProxyのEC2インスタンスを悪用し、XMRigの暗号資産マイニングマルウェアを展開していたことが判明しました。AIゲートウェイがクラウド環境で急速に普及する中、企業が直面するリスクを浮き彫りにする事例です。

Hacking& Cracking

ハッカーがAWS AIゲートウェイを侵害

2026年6月12日、Darktraceは検知しました。「LiteLLM-Proxy」という名前のAWS EC2インスタンスで、活発な暗号資産マイニング行動が確認されたのです。このインスタンスはAIゲートウェイとして機能しており、特権IAMロールを通じて認証、ルーティング、そしてAmazon Bedrock上でホストされる基盤モデルへのアクセスを一元管理していました。

このインスタンスはSSHポート22をすべての受信トラフィック(0.0.0.0/0)に対して開放していました。Darktraceは、主にIPアドレス145.241.123[.]102からの大量のブルートフォース接続試行を観測しており、これが初期侵入経路であった可能性が高いとみられます。

Image

その後まもなく、侵害されたホストはIPアドレス185.62.1[.]8からHTTP経由で、XMRigマルウェアを含む3.42MBのZIPファイルをダウンロードし、悪意あるペイロードをゲートウェイに送り込みました。

数分後、このインスタンスはポート443のHTTPS経由でpool.hasvault[.]proへの通信を繰り返し開始し、マイニングプールとの活発な通信を示していました。

Darktraceの拡張監視機能は、この活動を「Compromise / High Priority Cryptocurrency Mining」モデルによって検知し、Managed Threat Detectionを通じてセキュリティオペレーションセンター(SOC)にエスカレーションされました。これにより顧客は、自社のAWS環境内で発生していたリソースの不正利用を速やかに把握できました。

この攻撃は5つの段階を経て展開されました。

  1. 初期侵入:インスタンスのSSHポート22はすべての受信トラフィック(0.0.0.0/0)に開放されており、Darktraceは主にIP 145.241.123[.]102からの大量のブルートフォース接続試行を観測しました。
  2. ペイロード配送:侵害されたホストは、185.62.1[.]8からHTTP経由でXMRigマルウェアを含む3.42MBのZIPファイルをダウンロードしました。
  3. マイニングプールとの通信:マルウェアのダウンロード直後、このインスタンスはポート443のHTTPS経由でpool.hasvault[.]proへの通信を繰り返し開始し、活発なマイニングプール活動と一致する挙動を示しました。
  4. 検知とエスカレーション:Darktraceの拡張監視機能は「Compromise / High Priority Cryptocurrency Mining」モデルを通じてこの活動を検知し、SOCがManaged Threat Detectionを通じてエスカレーションしました。
  5. 不審なIAM活動:翌日の6月13日、Darktraceは別のIAMユーザーによる不審な活動を観測しました。異例な「GetSendQuota」リクエスト、Amazon Bedrockを標的とした失敗した「InvokeModel」および「ListFoundationModels」呼び出し、そして「CreateUser」コマンドが含まれており、これらはすべてアカウント通常のAmazon関連IPではなく、ベトナムを拠点とする異常なIPアドレスから発信されていました。

LiteLLMのようなAIゲートウェイは、クラウド権限、モデルアクセス、アプリケーション認証情報を単一の制御ポイントに集約するため、格好の標的となります。

Image

Darktraceは公開済みのLiteLLM脆弱性との明確な関連性は確認していませんが、この事案は既視感のあるパターンをたどっています。すなわち、公開されたサービスとブルートフォースによる認証情報奪取が、日和見的な暗号資産マイニングにつながるというもので、今回はその標的が従来型サーバーではなくAI関連インフラであった点が異なります。

IAMの異常活動はEC2侵害との直接的な関連は確定していないものの、長期アクセスキーの悪用や新規ユーザーアカウントを通じた持続的アクセスの試みが疑われる状況を示しています。

IOCの種類
IPアドレス 145.241.123[.]102
IPアドレス 185.62.1[.]8
ドメイン/ホスト名 pool.hasvault[.]pro
IPアドレス 14.176.1[.]47
マルウェア XMRig
ホスト/資産 LiteLLM-Proxy(EC2インスタンス)

注: 本記事に記載のIPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無害化(例: [.])しています。再有効化はMISP、VirusTotal、あるいは自社SIEMなど、管理された脅威インテリジェンス環境内でのみ行ってください。

Windows、Linux、macOSの仮想マシン上でサイバー脅威を操作し、攻撃チェーン全体を再現 - ANY RUNでマルウェアとフィッシングを分析

ComputerSecurity

翻訳元: https://gbhackers.com/hackers-compromise-aws-ai-gateway-connected-to-amazon-bedrock/

ソース: gbhackers.com