AmazonのAWS GuardDutyセキュリティチームは、Identity and Access Management(IAM)の侵害された認証情報を用いてElastic Compute Cloud(EC2)およびElastic Container Service(ECS)を標的にする、進行中の暗号資産マイニング(クリプトマイニング)キャンペーンについて警告しています。
この活動は11月2日に開始され、マイニング活動を長期化させ、インシデント対応者の対応を妨げる永続化メカニズムが用いられていました。
脅威アクターは、10月末に作成され、10万回以上プルされたDocker Hubイメージを使用しました。
Amazon EC2サービスはAWS上で仮想マシンを実行でき、ECSはクラウドプラットフォーム上でコンテナ化されたアプリケーション(例:Dockerアプリ)を実行できます。
これらのインスタンスに暗号資産マイナーを仕込むことで、脅威アクターはAWSの顧客とAmazonに計算リソース枯渇の負担を負わせたまま、金銭的利益を得ることができます。
Amazonによると、攻撃者は脆弱性を悪用したのではなく、顧客アカウント内の有効な認証情報を使用しました。
暗号資産マイニングの活動
AWSは本日公開したレポートで、攻撃者がEC2のサービスクォータとIAM権限の偵察を行った後、初期アクセスから10分以内に暗号資産マイニングを開始したと述べています。
これは、10月29日に作成されたDocker Hubイメージyenik65958/secretを指すタスク定義を登録することで可能になりました。このイメージにはSBRMiner-MULTI暗号資産マイナーと、コンテナ起動時に自動的に起動するためのスタートアップスクリプトが含まれていました。
各タスクはCPUユニット16,384とメモリ32GBで構成され、ECS Fargateタスクの希望数は10に設定されていました。
出典:Amazon
Amazon EC2では、攻撃者は暗号資産マイニングを自動的に開始するスタートアップスクリプトを含む2つの起動テンプレートを作成し、さらに少なくとも各20インスタンスを展開するよう設定された14のオートスケーリンググループを作成しました。最大容量は最大999台に設定されていました。
新しい永続化手法
マシンが稼働すると、攻撃者は管理者がリモートでそれらを終了できないようにする設定を有効化し、対応者がシャットダウン前に明示的に保護を無効化しなければならないようにしました。これは対応を遅らせ、暗号資産マイニングの利益を最大化するために導入された可能性があります。
「このキャンペーンで観測された興味深い手法は、脅威アクターが起動されたすべてのEC2インスタンスに対してModifyInstanceAttributeを使用し、APIによる終了を無効化したことです」とAmazonは説明しています。
「インスタンス終了保護はインスタンスの誤終了を防ぐ一方で、インシデント対応能力に追加の考慮事項をもたらし、自動化された修復コントロールを妨げる可能性があります」と同社は述べています。
キャンペーンを特定した後、Amazonは影響を受けた顧客に対し、暗号資産マイニング活動と、侵害されたIAM認証情報をローテーションする必要性について通知しました。
また、悪意のあるDocker Hubイメージはプラットフォームから削除されましたが、Amazonは脅威アクターが別名や別の発行者アカウントで類似のイメージを展開する可能性があると警告しています。
