Onderzoek van Palo Alto Networks traceert nieuwe kwaadaardige handelingen van blootgestelde identity & access management credentials
Onderzoekers van Unit 42, de onderzoeksgroep van Palo Alto Networks, hebben een onderzoek gepubliceerd over een actieve campagne die blootgestelde AWS IAM-referenties steelt uit GitHub-opslagplaatsen. Unit 42 heeft deze campagne de naam EleKtra-Leak gegeven.
Dit is niet de eerste keer dit jaar dat bedreigingsactoren Github-opslagplaatsen gebruiken om er zelf voordeel uit te halen. In toenemende mate hebben aanvallers het gebruikt als een initiële vector van compromittering. Een krachtige functie van GitHub is dat het de mogelijkheid biedt om alle openbare opslagplaatsen op te vragen, waardoor ontwikkelaars - en helaas ook bedreigingsactoren - nieuwe opslagplaatsen in realtime kunnen traceren.
Unit 42 heeft het volgende ontdekt:
- De campagne maakt gebruik van geautomatiseerde tools om blootgestelde AWS identiteits- en toegangsbeheer (IAM) referenties te identificeren binnen openbare GitHub opslagplaatsen - binnen 5 minuten na hun initiële blootstelling op GitHub.
- De bedreigende actor heeft meerdere AWS Elastic Compute (EC2)-instanties aangemaakt.
- De AWS EC2-instanties werden gebruikt om wijdverspreide en langdurige cryptojacking operaties uit te voeren gedurende minstens 2 jaar; deze zijn vandaag de dag nog steeds actief.
- Unit 42 vond 474 unieke miners die mogelijk door actoren werden aangestuurd op Amazon EC2-instanties tussen 30 augustus en 6 oktober 2023.
- De groep heeft Monero gedolven, een cryptocurrency die privacy controles biedt; hierdoor wordt de mogelijkheid geblokkeerd om de ‘wallet’ te traceren en te zien hoeveel geld ze hebben verdiend.
- Uit het Cloud Threat Report Vol 7 van Unit 42 blijkt dat 83% van de organisaties hard gecodeerde referenties blootlegt in de productiecode-opslagplaatsen.
Lees meer
