Les attaques de cryptojacking EleKtra-Leak exploitent les identifiants IAM d’AWS exposés sur GitHub

« Grâce à cela, l’acteur de la menace associé à la campagne a pu créer plusieurs instances AWS Elastic Compute (EC2) qu’il a utilisées pour des opérations de cryptojacking de grande envergure et de longue durée », ont déclaré les chercheurs William Gamazo et Nathaniel Quist de l’unité 42 de Palo Alto Networks dans un rapport technique partagé avec The Hacker News.

L’opération, active depuis au moins décembre 2020, est conçue pour extraire du Monero à partir de 474 instances Amazon EC2 uniques entre le 30 août et le 6 octobre 2023.

L’un des aspects les plus remarquables des attaques est le ciblage automatisé des identifiants AWS IAM dans les quatre minutes suivant leur exposition initiale sur GitHub, ce qui indique que les acteurs de la menace clonent et analysent les référentiels de manière programmatique pour capturer les clés exposées.

L’adversaire a également été observé en train de bloquer les comptes AWS qui publient les identifiants IAM dans ce qui est probablement considéré comme un effort pour empêcher une analyse plus poussée.

Certains éléments suggèrent que l’attaquant pourrait également être lié à une autre campagne de cryptojacking divulguée par Intezer en janvier 2021 et visant des services Docker mal sécurisés utilisant le même logiciel de minage sur mesure.

Une partie du succès de la campagne réside dans l’exploitation des angles morts de la fonction d’analyse secrète de GitHub et de la politique de quarantaine AWSCompromisedKeyQuarantine d’AWS pour signaler et empêcher l’utilisation abusive d’informations d’identification IAM compromises ou exposées pour exécuter ou démarrer des instances EC2.
Bien que la politique de quarantaine soit appliquée dans les deux minutes suivant l’accès public aux identifiants AWS sur GitHub, on soupçonne que les clés ont été exposées par une méthode encore indéterminée.

L’unité 42 a déclaré que « l’acteur de la menace pourrait être en mesure de trouver des clés AWS exposées qui ne sont pas automatiquement détectées par AWS et de contrôler ensuite ces clés en dehors de la politique de quarantaine AWSCompromisedKeyQuarantine ».

Dans les chaînes d’attaque découvertes par l’entreprise de cybersécurité, les identifiants AWS volés sont utilisés pour effectuer une opération de reconnaissance de compte, suivie de la création de groupes de sécurité AWS et du lancement de plusieurs instances EC2 dans différentes régions depuis un réseau privé virtuel (VPN).

Les opérations de cryptomining sont menées sur des instances AWS c5a.24xlarge en raison de leur puissance de traitement supérieure, ce qui permet à leurs opérateurs de miner plus de crypto-monnaie en moins de temps.

Le logiciel de minage utilisé pour effectuer le cryptojacking est récupéré à partir d’une URL de Google Drive, ce qui met en évidence une tendance des acteurs malveillants à tirer parti de la confiance associée à des applications largement utilisées pour passer inaperçus.

« Le type d’images de machine Amazon (AMI) utilisé par l’acteur de la menace était également particulier », ont déclaré les chercheurs. « Les images identifiées étaient privées et n’étaient pas répertoriées sur AWS Marketplace.

Pour limiter ces attaques, il est recommandé aux organisations qui exposent accidentellement des identifiants IAM d’AWS de révoquer immédiatement toute connexion API utilisant les clés, de les supprimer du référentiel GitHub et d’auditer les événements de clonage du référentiel GitHub pour détecter toute opération suspecte. « L’acteur de la menace peut détecter le lancement d’une opération de minage à grande échelle dans les cinq minutes suivant l’exposition de l’identifiant IAM (Identity Access Management) d’Amazon Web Services (AWS) au référentiel public GitHub », ont déclaré les chercheurs. « Malgré des politiques de quarantaine efficaces, la campagne maintient une fluctuation continue de la fréquence des comptes de victimes compromis. »