あなたのAWSアカウントが、気づかぬうちに他人の暗号資産マイナーを動かしているかもしれません。暗号資産窃盗犯は盗んだAmazonアカウントの認証情報を使い、AWS顧客の負担でコインをマイニングしています。彼らはElastic Container Service(ECS)とElastic Compute Cloud(EC2)のリソースを悪用しており、11月2日に始まった継続中の作戦だといいます。
この不正な暗号資産マイニング・キャンペーンは、「管理者に近い権限」を持つ侵害された有効なAWS Identity and Access Management(IAM)の認証情報を悪用するもので、脆弱性を突くものではありません。その後、このアクセスを用いてECSとEC2にSBRMiner-MULTIを展開すると、Amazonのセキュリティエンジニアであるカイル・コーラー氏が今週のブログで述べました。
「脅威アクターが初期アクセスを得てから10分以内に、暗号資産マイナーが稼働していました」とコーラー氏は書いています。
Amazonの脅威検知サービスGuardDutyが、少数の顧客アカウントでこの暗号資産マイニング作戦を検知し、顧客に警告したとのことです。
犯罪者は侵害されたAWS認証情報を入手した後、EC2のサービスクォータを確認して起動可能なインスタンス数を調べ、DryRunフラグを有効にした状態でRunInstances APIを複数回呼び出して認証情報の権限をテストしました。これにより、まだ計算料金を発生させて検知リスクを高めることなく、不正マイニングを進めるのに十分な権限があることを確認できました。
また、違法行為を可能にするためにECSクラスターを「数十」作成し、1回の攻撃で50を超えることもあり、EC2ではオートスケーリンググループを使ってサービスクォータとリソース消費を最大化しました。
妨害をより困難にし(その結果、盗んだリソースからより多くの暗号資産を回収できるようにするため)、永続化のためにModifyInstanceAttributeを使用し、disable API terminationをtrueに設定しました。これにより、マイニングに使用されるAWSインスタンスの終了がブロックされ、被害者は影響を受けたリソースを削除する前に、追加の手順としてAPI terminationを再有効化しなければならなくなります。
「複数のコンピュートサービスをスクリプトで使用し、新たに出現している永続化手法と組み合わせるという脅威アクターのやり方は、セキュリティチームが認識しておくべき暗号資産マイニングの永続化手法の進化を示しています」とコーラー氏は書いています。
マイナーを展開した後、犯人らは認証なしに設定されたAWS Lambda関数を作成し、公開のLambda Function URL経由で公開して、被害者環境への永続的なアクセスを維持できるようにしました。
暗号資産マイニングの悪用被害を防ぐため、Amazonは強固なIDおよびアクセス管理の統制に加え、長期的なアクセスキーではなく一時的な認証情報の使用を推奨しています。いつものとおり、すべてのユーザーに多要素認証(MFA)を強制し、IAMには最小権限を適用してください。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/18/crypto_crooks_use_stolen_aws/
