Unit 42 denuncia campagna ancora in corso
Il threat intelligence team di Palo Alto Networks Unit 42, ha rilevato una campagna malware attiva chiamata EleKtra-Leak, che esegue il targeting automatico delle credenziali AWS di gestione di identità e accesso (IAM) esposte all’interno di repository GitHub pubblici. L’autore della minaccia associato alla campagna è stato in grado di creare molteplici istanze AWS Elastic Compute (EC2) utilizzate per operazioni di cryptojacking di ampia portata e lunga durata.
Gli esperti di Unit 42 valutano che queste operazioni, attive da almeno due anni, sono tuttora in corso. Il criminale digitale è stato in grado di rilevare e utilizzare le credenziali IAM entro cinque minuti dalla loro esposizione iniziale su GitHub, mettendo in luce come i malintenzionati possano sfruttare le tecniche di automazione del cloud per raggiungere i loro obiettivi di ampliamento delle operazioni di cryptojacking.
Dal 30 agosto al 6 ottobre 2023, rilevati 474 miner
Durante il monitoraggio del pool di cryptojacking utilizzato nell’operazione EleKtra-Leak, dal 30 agosto al 6 ottobre 2023, sono stati rilevati 474 miner unici, potenzialmente istanze Amazon EC2 controllate dagli attori. Poiché i malintenzionati hanno estratto Monero, una tipologia di criptovaluta che include controlli sulla privacy, non è possibile tracciare il portafoglio per ottenere importi esatti sull’entità dei loro guadagni. L’attore sembra aver utilizzato strumenti automatizzati per clonare continuamente i repository pubblici di GitHub e scansionare le credenziali IAM di Amazon Web Services esposte e successivamente aver bloccato gli account AWS che espongono abitualmente le credenziali IAM, in quello che si ritiene essere un tentativo di impedire ai ricercatori di sicurezza di seguire le loro operazioni.
Per contrastare l’operazione di offuscamento
Unit 42 ha automatizzato la creazione di account AWS e utenti randomizzati con credenziali IAM troppo permissive colpite, permettendo così di tracciare i movimenti dell’attore. I ricercatori hanno inserito queste informazioni in un repository GitHub generato in maniera casuale che esponeva pubblicamente le credenziali IAM del ricercatore.
Secondo il Cloud Threat Report Vol. 7 di Unit 42, l’83% delle aziende espone credenziali hard-coded all’interno dei repository del codice di produzione.
Una delle sfide affrontate in questo leak intenzionale comporta che, una volta identificate le chiavi AWS dall’attore della minaccia, queste possono essere facilmente attribuite all’account AWS corrispondente. Unit 42 ha scoperto che il malintenzionato è in grado di riconoscere gli ID degli account AWS che ricorrono più frequentemente, bloccandoli da futuri attacchi o script di automazione. Per questo è stata disegnata un’architettura investigativa innovativa per creare e divulgare dinamicamente chiavi AWS non attribuibili. Questa attività è in atto almeno dal 2020 e nonostante il successo delle policy di quarantena AWS, la campagna mantiene una continua fluttuazione nel numero e nella frequenza degli account compromessi.
Con ogni probabilità, la continuazione della campagna dipende dal fatto che essa non si concentri esclusivamente sulle credenziali esposte di GitHub o sulle istanze Amazon EC2.
Palo Alto Networks ha condiviso questi risultati, compresi i campioni di file e gli indicatori di compromissione, con i membri della Cyber Threat Alliance (CTA), che utilizzano queste informazioni per distribuire rapidamente protezione ai clienti e bloccare sistematicamente gli attori malintenzionati.