Das „Unit 42“-Team von Palo Alto Networks hat einen neuen Forschungsbericht über eine aktive Kampagne veröffentlicht, die AWS-IAM-Anmeldedaten aus Github-Repositories stiehlt. Unit 42 bezeichnet diese Kampagne als „EleKtra-Leak”.
Es ist nicht das erste Mal in diesem Jahr, dass Bedrohungsakteure Github-Repositories zu ihrem eigenen Vorteil nutzen. In zunehmendem Maße haben Angreifer Github als ersten Angriffsvektor genutzt. Eine leistungsstarke Funktion von Github ist die Möglichkeit, alle öffentlichen Repositories aufzulisten, so dass Entwickler – und leider auch Angreifer – neue Repositories in Echtzeit verfolgen können.
Die Erkenntnisse von Unit 42 auf einen Blick:
- Die Kampagne nutzt automatisierte Tools, um exponierte Anmeldeinformationen für AWS Identity and Access-Management (IAM) in öffentlichen Github-Repositories zu identifizieren – innerhalb von 5 Minuten nach ihrer ersten Veröffentlichung auf Github.
- Der Bedrohungsakteur erstellte mehrere AWS-Elastic-Compute (EC2)-Instanzen.
- Die AWS-EC2-Instanzen wurden verwendet, um weitreichende und lang anhaltende Kryptojacking-Operationen für mindestens 2 Jahre durchzuführen – und sind auch heute noch aktiv.
- Unit 42 fand 474 einzigartige Miner, die zwischen dem 30. August und dem 6. Oktober 2023 potenziell von Akteuren kontrollierte Amazon-EC2-Instanzen waren.
- Die Gruppe schürfte Monero, eine Kryptowährung, die Datenschutzkontrollen enthält – was verhindert, die Wallet und damit den Geldverdienst der Gruppe zu verfolgen.
Info: Den gesamten Forschungsbericht findet sich unter folgendem Link: https://unit42.paloaltonetworks.com/malicious-operations-of-exposed-iam-keys-cryptojacking
#PaloAltoNetworks
powered by Borlabs Cookie 