IAM bị xâm phạm đã thúc đẩy khai thác tiền điện tử quy mô lớn trên AWS

[T-X]

Một chiến dịch đang diễn ra đã được phát hiện nhắm mục tiêu vào khách hàng của Amazon Web Services (AWS) bằng cách sử dụng thông tin đăng nhập Quản lý danh tính và truy cập ( IAM ) bị xâm phạm để khai thác tiền điện tử.

Hoạt động này, lần đầu tiên được phát hiện bởi dịch vụ phát hiện mối đe dọa được quản lý GuardDuty của Amazon và các hệ thống giám sát an ninh tự động của hãng vào ngày 2 tháng 11 năm 2025, sử dụng các kỹ thuật duy trì hoạt động chưa từng thấy trước đây để cản trở việc ứng phó sự cố và tiếp tục hoạt động mà không bị cản trở, theo một báo cáo mới được gã khổng lồ công nghệ này chia sẻ trước khi công bố.

"Hoạt động từ một nhà cung cấp dịch vụ lưu trữ bên ngoài, kẻ tấn công đã nhanh chóng liệt kê các tài nguyên và quyền hạn trước khi triển khai các tài nguyên khai thác tiền điện tử trên ECS và EC2," Amazon cho biết. "Trong vòng 10 phút kể từ khi kẻ tấn công giành được quyền truy cập ban đầu, các máy khai thác tiền điện tử đã hoạt động."

Chuỗi tấn công nhiều giai đoạn về cơ bản bắt đầu bằng việc kẻ thù không xác định lợi dụng thông tin đăng nhập người dùng IAM bị xâm phạm với các đặc quyền tương tự như quản trị viên để khởi động giai đoạn khám phá, được thiết kế để dò tìm môi trường về hạn mức dịch vụ EC2 và kiểm tra quyền hạn của chúng bằng cách gọi API RunInstances với cờ "DryRun" được đặt.

Việc kích hoạt cờ "DryRun" này rất quan trọng và có chủ đích vì nó cho phép kẻ tấn công xác thực quyền IAM của chúng mà không cần thực sự khởi chạy các phiên bản, do đó tránh phát sinh chi phí và giảm thiểu dấu vết điều tra. Mục tiêu cuối cùng của bước này là để xác định xem cơ sở hạ tầng mục tiêu có phù hợp để triển khai chương trình khai thác hay không.

Quá trình lây nhiễm chuyển sang giai đoạn tiếp theo khi tác nhân đe dọa gọi các hàm CreateServiceLinkedRole và CreateRole để tạo các vai trò IAM cho nhóm tự động mở rộng quy mô và AWS Lambda tương ứng. Sau khi các vai trò được tạo, chính sách " AWSLambdaBasicExecutionRole " được gắn vào vai trò Lambda.

Theo những hoạt động được quan sát cho đến nay, kẻ tấn công được cho là đã tạo ra hàng chục cụm ECS trên toàn hệ thống, trong một số trường hợp vượt quá 50 cụm ECS trong một cuộc tấn công duy nhất.

"Sau đó, chúng gọi hàm RegisterTaskDefinition với một ảnh DockerHub độc hại có tên yenik65958/secret:user," Amazon cho biết. "Với cùng chuỗi ký tự được sử dụng để tạo cụm, kẻ tấn công đã tạo một dịch vụ, sử dụng định nghĩa tác vụ để bắt đầu khai thác tiền điện tử trên các node ECS Fargate."

Ảnh DockerHub, hiện đã bị gỡ bỏ, được cấu hình để chạy một tập lệnh shell ngay sau khi triển khai nhằm khởi động hoạt động khai thác tiền điện tử bằng thuật toán khai thác RandomVIREL. Ngoài ra, kẻ tấn công đã được quan sát thấy tạo ra các nhóm tự động mở rộng quy mô được thiết lập để mở rộng từ 20 lên 999 phiên bản nhằm khai thác hạn mức dịch vụ EC2 và tối đa hóa mức tiêu thụ tài nguyên.

Hoạt động trên EC2 nhắm đến cả các phiên bản GPU hiệu năng cao và máy học, cũng như các phiên bản tính toán, bộ nhớ và đa năng.

Điều làm cho chiến dịch này trở nên khác biệt là việc sử dụng hành động ModifyInstanceAttribute với tham số "disableApiTermination" được đặt thành "True", ngăn không cho một phiên bản bị chấm dứt bằng bảng điều khiển Amazon EC2, giao diện dòng lệnh hoặc API. Điều này, đến lượt nó, yêu cầu các nạn nhân phải kích hoạt lại tính năng chấm dứt API trước khi xóa các tài nguyên bị ảnh hưởng.

Amazon cho biết: "Việc bảo vệ bằng cách chấm dứt phiên bản có thể làm suy yếu khả năng ứng phó sự cố và làm gián đoạn các biện pháp kiểm soát khắc phục tự động. Kỹ thuật này thể hiện sự hiểu biết về các quy trình ứng phó an ninh thông thường và ý định tối đa hóa thời gian hoạt động khai thác."

Đây không phải là lần đầu tiên rủi ro bảo mật liên quan đến ModifyInstanceAttribute được đưa ra ánh sáng. Vào tháng 4 năm 2024, nhà nghiên cứu bảo mật Harsha Koushik đã chứng minh một bằng chứng về khái niệm (PoC) cho thấy chi tiết cách thức hành động này có thể bị lạm dụng để chiếm quyền kiểm soát các phiên bản, đánh cắp thông tin đăng nhập vai trò phiên bản và thậm chí chiếm quyền kiểm soát toàn bộ tài khoản AWS.

Hơn nữa, các cuộc tấn công bao gồm việc tạo ra một hàm Lambda có thể được gọi bởi bất kỳ chủ thể nào và người dùng IAM "user-x1x2x3x4" được gắn chính sách do AWS quản lý " AmazonSESFullAccess ", cấp cho kẻ thù quyền truy cập hoàn toàn vào Dịch vụ Email Đơn giản của Amazon (SES) để có thể thực hiện các cuộc tấn công lừa đảo.

Để phòng ngừa mối đe dọa này, Amazon khuyến khích khách hàng AWS thực hiện các bước sau:

    Áp dụng các biện pháp kiểm soát quản lý danh tính và quyền truy cập mạnh mẽ.
    Hãy sử dụng thông tin xác thực tạm thời thay vì khóa truy cập dài hạn.
    Sử dụng xác thực đa yếu tố (MFA) cho tất cả người dùng.
    Áp dụng nguyên tắc đặc quyền tối thiểu (PoLP) cho các thực thể IAM để hạn chế quyền truy cập.
    Thêm các biện pháp kiểm soát bảo mật vùng chứa để quét các hình ảnh đáng ngờ.
    Theo dõi các yêu cầu phân bổ CPU bất thường trong định nghĩa tác vụ ECS.
    Sử dụng AWS CloudTrail để ghi nhật ký các sự kiện trên các dịch vụ AWS.
    Đảm bảo AWS GuardDuty được kích hoạt để hỗ trợ các quy trình phản hồi tự động.

"Việc kẻ tấn công sử dụng nhiều dịch vụ điện toán theo kịch bản, kết hợp với các kỹ thuật duy trì sự hiện diện mới nổi, thể hiện một bước tiến đáng kể trong các phương pháp tấn công khai thác tiền điện tử."