攻撃者、暗号資産マイニング・キャンペーンで盗まれたAWS認証情報を使用

出典：Klaus Ohlenschlaeger / Alamy Stock Photo

攻撃者は侵害されたAWS Identity and Access Management（IAM）の認証情報を用いて、広範な暗号資産マイニング・キャンペーンの中でクラウドサービスを標的にしており、顧客インフラを侵害してから10分後には無許可のマイナーを展開できるという。

Amazon Web Services（AWS）のセキュリティ研究者は、Amazon GuardDutyと自動化されたセキュリティ監視システムを用いて11月上旬にこの悪意ある活動を特定した。AWSが火曜日に公開したブログ投稿による。具体的には、攻撃者は侵害された認証情報を使ってAmazon Elastic Container Service（Amazon ECS）とAmazon Elastic Compute Cloud（Amazon EC2）インスタンスを標的にし、複数の顧客のインフラ全体で暗号資産をマイニングした。対象顧客にはすでに通知済みだという。

このクラウド大手は、このキャンペーンが同社インフラの脆弱性を悪用したものではなく、代わりに盗まれた有効な認証情報を用いて管理者権限を取得し、悪意ある目的でクラウド環境にアクセスしたのだと強調した。これは、脅威アクターがクラウドコンピューティング資源へアクセスするために用いる一般的な手口であり、その後、暗号資産のマイニングやその他の不正な活動を、正規のクラウドインフラを悪用して実行する。

「これらの行為は共有責任モデルにおける顧客ドメインで発生するものですが、AWSは顧客がこうした活動を検知・防止し、または影響を軽減するために利用できる手順を推奨します」と、AWSのセキュリティエンジニアであるKyle Koeller氏は投稿で述べた。

暗号資産マイニングの迅速な展開

このキャンペーンは、侵害されたIAM認証情報を手にした脅威アクターが、外部ホスティングプロバイダーから顧客のAWS環境を調査し、悪意ある活動においてどのようなリソースを展開できるかを把握しようとしたことから始まった。

「彼らはAmazon EC2のサービスクォータ（GetServiceQuota）を確認して起動可能なインスタンス数を判断し、その後、DryRunフラグを有効にした状態でRunInstances APIを複数回呼び出して権限をテストしました」とKoeller氏は書いている。後者のプロセスは「実際にインスタンスを起動することなくIAM権限を検証できる意図的な偵察戦術であり、コストを回避し、検知の痕跡を減らす」ものだったという。

その後、攻撃者は攻撃インフラの一部として、IAMロールを作成するために2つのAPIを呼び出した。オートスケーリンググループ用のロールを作成するCreateServiceLinkedRoleと、AWS Lambda用のロールを作成するCreateRoleである。次に、LambdaロールへAWSLambdaBasicExecutionRoleポリシーをアタッチした。Koeller氏によれば、これら2つのロールは後に攻撃の影響拡大と永続化の段階で重要な要素となった。

この発見とセットアップのフェーズが完了すると、アクターはAmazon EC2とAmazon ECS全体に暗号資産マイニング用リソースを展開し、初期アクセスから約10分で稼働状態になったとKoeller氏は述べた。

高度な永続化

AWSによると、この攻撃はインシデント対応を妨害し、暗号資産マイニングの運用を長期化させることを目的とした、高度で新しい永続化手法が注目点だという。攻撃者は、ModifyInstanceAttributeを使用し、「disable API termination」をtrueに設定することでこれを実行した。これにより、被害者は影響を受けたリソースを削除する前に、APIによる終了を再度有効化しなければならなくなる。 

「インスタンス終了保護を無効化すると、インシデント対応者にとって追加の考慮事項が生じ、自動修復コントロールを妨げる可能性があります」とKoeller氏は投稿で指摘した。 

また、複数のコンピュートサービスを悪用するこのキャンペーンと相まって、この新たな手法は「セキュリティチームが認識しておくべき、暗号資産マイニングの永続化手法の進展」を示していると同氏は付け加えた。

GuardDutyのセキュリティエンジニアは最終的に、複数のAWS顧客アカウントで類似の攻撃手法が使われていることに気づき、この活動を発見した。これは「侵害されたIAM認証情報を用いて顧客を標的にする協調的なキャンペーンを示唆している」とKoeller氏は述べた。

クラウドの保護

暗号資産マイニング、すなわちクリプトジャッキングは、攻撃者がクラウドリソースを悪用する一般的な手口であり、クラウド利用率を押し上げ、結果としてコストを増大させることで組織に悪影響を与える。セキュリティチームがクラウドインフラに影響する悪意ある暗号資産マイニング活動を監視できるよう、AWSは監視すべき侵害指標（IoC）を多数提示した。

これには悪意あるコンテナイメージの使用が含まれる。今回のケースでは、Docker Hubのイメージyenik65958/secretが10月29日に作成され、コンテナ化環境へ暗号資産マイナーを展開するために使用された。すでに削除されているものの、「脅威アクターは別名で類似のイメージを展開する可能性がある」とKoeller氏は警告した。

このキャンペーンで使用された自動化とツールには、攻撃チェーン全体にわたるPythonベースの自動化スクリプトに加え、次の暗号資産マイニング用ドメインが含まれていた：asia[.]rplant[.]xyz、eu[.]rplant[.]xyz、na[.]rplant[.]xyz。セキュリティチームは、これらのIoCについてもクラウド環境を確認すべきだと同氏は述べた。 

最後に、攻撃者はインスタンス作成にあたり次の特定の命名規則を使用しており、これもインフラが暗号資産マイニングに使われている兆候となり得る。スポットインスタンスはSPOT-us-east-1-G*-*、オンデマンドインスタンスはOD-us-east-1-G*-*で、Gはグループ番号を示す。

また、AWSの顧客は、長期的なアクセスキーではなく一時的な認証情報を使用すること、全ユーザーに多要素認証（MFA）を適用すること、IAMプリンシパルのアクセスを必要最小限の権限に制限することなど、強固なIDおよびアクセス管理コントロールを優先すべきだとKoeller氏は付け加えた。同氏は「AWS CloudTrailを使用してAWSサービス全体のイベントを記録し、ログを単一のアカウントに集約することで、セキュリティチームがアクセスして監視できるようにできます」と書いている。