Кампания криптомайнинга в AWS: компрометация IAM и обнаружение GuardDuty
Крупная кампания по крипто-майнингу, нацеленная на облачные сервисы Amazon — EC2 и ECS, была впервые зафиксирована 2 ноября 2025 года. По данным отчета, злоумышленники в основном использовали скомпрометированные учетные данные IAM с повышенными привилегиями, что позволило им получить масштабный доступ к ресурсам и развернуть операции по майнингу на нескольких уровнях инфраструктуры.
Как происходил первоначальный доступ
Первичный доступ злоумышленников был осуществлён с использованием скомпрометированных учетных данных IAM из аномальных сетей. Эти подозрительные подключения вызвали срабатывание системы обнаружения угроз Amazon GuardDuty, что стало отправной точкой для последующего анализа инцидента.
Разведка и подготовка к развертыванию
Актеры проводили систематическое исследование окружения, в частности — проверяли квоты сервисов EC2, чтобы оценить свои возможности по развертыванию. Для оценки разрешений злоумышленники многократно вызывали API RunInstances с флагом DryRun, что позволяло им определить, какие действия разрешены, не инициируя фактическое создание экземпляров.
Масштаб атак и техника развертывания
- Злоумышленники создавали многочисленные кластеры ECS — в некоторых случаях их число превышало 50.
- Для задач майнинга они регистрировали вредоносный образ с Docker Hub через вызов RegisterTaskDefinition API.
- Развертывание задач происходило на узлах Fargate, что позволяло скрыть деятельность внутри управляемого сервиса и упростить масштабирование майнинга.
Методы закрепления и противодействие реагированию
Одним из заметных приёмов закрепления была модификация атрибутов экземпляров EC2, отключавшая возможность их завершения через API. Это препятствовало оперативному устранению вредоносных экземпляров и защищало операции по майнингу от случайных или автоматизированных действий по ликвидации угрозы.
«Многоуровневая методология обнаружения GuardDuty доказала свою решающую роль в выявлении всех этапов цепочки атак, используя комбинацию анализа угроз и обнаружения аномалий», — отмечается в отчете.
Роль Amazon GuardDuty в обнаружении кампании
GuardDuty продемонстрировал всестороннюю эффективность, выявляя различные этапы атаки через несколько типов результатов:
- EC2-результаты: предупреждали о подозрительном сетевом поведении, характерном для крипто-майнинга — попытки brute-force, подключения к известным вредоносным доменам и иные аномалии трафика.
- IAM-результаты: позволяли обнаружить скомпрометированные учетные данные за счёт выявления аномального поведения пользователей, включая необычные вызовы API.
- Runtime monitoring: давал данные с уровня хоста, подтверждающие выполнение процессов майнинга — сетевые подключения к доменам, связанным с криптографией, и непосредственное выполнение майнинг-процессов.
- AI/ML-усиления: недавно внедрённые расширенные возможности обнаружения угроз в GuardDuty использовали искусственный интеллект и машинное обучение для сопоставления данных из нескольких источников и выявления сложных схем атак в скомпрометированных группах ресурсов EC2.
Выводы
Отчёт демонстрирует, что злоумышленники используют классические приёмы (компрометация IAM, разведка квот, регистрация вредоносных образов) в сочетании с обходными техниками (модификация атрибутов экземпляров для блокировки завершения) для надежного и масштабируемого развёртывания крипто-майнинга в облаке. Многоуровневый подход системы GuardDuty — объединяющий сетевую телеметрию, анализ активности пользователей и мониторинг на уровне хоста, усиленный AI/ML — оказался ключевым для полного обнаружения и понимания цепочки атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
