はじめに
AmazonのAWS GuardDutyセキュリティチームは、侵害されたIdentity and Access Management (IAM) 認証情報を悪用し、同社のElastic Compute Cloud (EC2) および Elastic Container Service (ECS) を標的とした継続的なクリプトマイニングキャンペーンについて警告しています。この攻撃は11月2日に開始され、マイニング操作を延長し、インシデント対応を妨害する持続化メカニズムを採用していました。攻撃者は10月末に作成され、10万回以上プルされたDocker Hubイメージを使用しています。
クリプトマイニングの手口
Amazonの報告によると、攻撃者は初回アクセスからわずか10分以内にクリプトマイニングを開始しました。これは、EC2サービスのクォータとIAM権限の偵察を行った後、直ちに行われました。攻撃者は、SBRMiner-MULTIクリプトマイナーと、コンテナ起動時に自動的に起動するスタートアップスクリプトを含むDocker Hubイメージ「yenik65958/secret」を指すタスク定義を登録しました。各タスクは16,384 CPUユニットと32GBのメモリで構成され、ECS Fargateタスクの希望数は10に設定されていました。Amazon EC2上では、攻撃者はスタートアップスクリプトで自動的にクリプトマイニングを開始する2つの起動テンプレートを作成し、さらに少なくとも20インスタンスをデプロイするように構成された14のオートスケーリンググループを展開しました。
新たな持続化手法
このキャンペーンで注目すべきは、攻撃者が起動した全てのEC2インスタンスでAPIターミネーションを無効にするためにModifyInstanceAttributeを使用した点です。これにより、管理者がリモートでインスタンスを終了するのを防ぎ、対応者はシャットダウンする前に明示的に保護を無効にする必要がありました。Amazonは、これはインシデント対応を遅らせ、クリプトマイニングの利益を最大化するためのものだったと考えています。
Amazonの対応と警告
キャンペーンを特定した後、Amazonは影響を受けた顧客に対し、クリプトマイニング活動と侵害されたIAM認証情報のローテーションの必要性について警告しました。また、悪意のあるDocker Hubイメージはプラットフォームから削除されましたが、Amazonは攻撃者が異なる名前や発行元アカウントで同様のイメージをデプロイする可能性があると警告しています。