Los ataques de cryptojacking de EleKtra-Leak explotan las credenciales de AWS IAM expuestas en GitHub

Una nueva campaña en curso denominada EleKtra-Leak ha puesto sus ojos en las credenciales de gestión de identidades y accesos (IAM) de Amazon Web Service (AWS) expuestas dentro de los repositorios públicos de GitHub para facilitar las actividades de cryptojacking.

“Como resultado de esto, el actor de amenazas asociado con la campaña pudo crear múltiples instancias de AWS Elastic Compute (EC2) que utilizaron para operaciones de cryptojacking de gran alcance y larga duración”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, William Gamazo y Nathaniel Quist.

La operación, activa desde al menos diciembre de 2020, está diseñada para minar Monero desde hasta 474 instancias únicas de Amazon EC2 entre el 30 de agosto y el 6 de octubre de 2023.

Un aspecto destacado de los ataques es la orientación automatizada de las credenciales de AWS IAM dentro de los cuatro minutos posteriores a su exposición inicial en GitHub, lo que indica que los actores de amenazas están clonando y escaneando mediante programación los repositorios para capturar las claves expuestas.

También se ha observado que el adversario incluye en la lista de bloqueo las cuentas de AWS que publican las credenciales de IAM en lo que probablemente se considere un esfuerzo por evitar un análisis más profundo.

Hay pruebas que sugieren que el atacante también puede haber estado vinculado a otra campaña de cryptojacking revelada por Intezer en enero de 2021 dirigida a servicios Docker mal protegidos que utilizan el mismo software de minería a medida.

Parte del éxito de la campaña radica en la explotación de los puntos ciegos en la característica de secret scanning de GitHub y la política AWSCompromisedKeyQuarantine de AWS para marcar y evitar el uso indebido de credenciales de IAM comprometidas o expuestas para ejecutar o iniciar instancias EC2.

Si bien la política de cuarentena se aplica dentro de los dos minutos posteriores a que las credenciales de AWS sean accesibles públicamente en GitHub, se sospecha que las claves se están exponiendo a través de un método aún no determinado.

Ataques de cryptojacking de EleKtra-Leak

Unit 42 dijo que “el actor de amenazas podría ser capaz de encontrar claves de AWS expuestas que no son detectadas automáticamente por AWS y, posteriormente, controlar estas claves fuera de la política AWSCompromisedKeyQuarantine”.

En las cadenas de ataque descubiertas por la empresa de ciberseguridad, las credenciales robadas de AWS se utilizan para realizar una operación de reconocimiento de cuentas, seguida de la creación de grupos de seguridad de AWS y el lanzamiento de múltiples instancias EC2 en varias regiones desde detrás de una red privada virtual (VPN).

Las operaciones de criptominería se llevan a cabo en instancias de AWS c5a.24xlarge debido a su mayor potencia de procesamiento, lo que permite a sus operadores minar más criptomonedas en un período de tiempo más corto.

El software de minería utilizado para llevar a cabo el cryptojacking se obtiene de una URL de Google Drive, lo que pone de manifiesto un patrón de actores maliciosos que aprovechan la confianza asociada a las aplicaciones ampliamente utilizadas para pasar desapercibidos.

“El tipo de imágenes de máquina de Amazon (AMI) que utilizó el actor de amenazas también fue distintivo”, dijeron los investigadores. “Las imágenes identificadas eran privadas y no figuraban en AWS Marketplace”.

Para mitigar este tipo de ataques, se recomienda a las organizaciones que accidentalmente exponen las credenciales IAM de AWS revocar inmediatamente cualquier conexión API que utilice esas claves, eliminarlas del repositorio de GitHub y auditar los eventos de clonación del repositorio de GitHub en busca de operaciones sospechosas.

Related Posts
Clear Filters

Investigadores de ciberseguridad han descubierto una nueva variante de una botnet emergente llamada P2PInfect que es capaz de atacar routers y…

Microsoft ha advertido de una nueva ola de ataques de ransomware CACTUS que aprovechan los señuelos de publicidad maliciosa para…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.