22 Mayıs 2023Ravie LakshmananKripto Para Birimi / Bulut Güvenliği
Endonezya kökenli, finansal olarak motive olmuş bir tehdit aktörünün, yasa dışı kripto madenciliği operasyonlarını yürütmek için Amazon Web Services (AWS) Elastic Compute Cloud (EC2) bulut sunucularından yararlandığı gözlemlendi.
Grubu ilk olarak Kasım 2021’de tespit eden bulut güvenlik şirketi Permiso P0 Labs, gruba takma ad atadı GUI-vil (Goo-ee-vil olarak telaffuz edilir).
Şirket, “Grup, ilk işlemleri için Grafik Kullanıcı Arayüzü (GUI) araçlarını, özellikle S3 Tarayıcısını (sürüm 9.5.5) tercih ediyor” dedi. rapor The Hacker News ile paylaştı. “AWS Konsolu erişimi elde ettikten sonra, işlemlerini doğrudan web tarayıcısı üzerinden yürütürler.”
GUI-vil tarafından kurulan saldırı zincirleri, AWS anahtarlarını GitHub’daki herkese açık kaynak kodu depolarında silah haline getirerek veya uzaktan kod yürütme kusurlarına (ör. CVE-2021-22205).
Başarılı bir girişi, ayrıcalık yükseltme ve mevcut tüm S3 gruplarını gözden geçirmek ve AWS web konsolu üzerinden erişilebilen hizmetleri belirlemek için dahili bir keşif takip eder.
Tehdit aktörünün çalışma tarzının dikkate değer bir yönü, aynı adlandırma kuralına uyan ve nihai olarak hedeflerini karşılayan yeni kullanıcılar yaratarak kurban ortamına uyum sağlama ve bu ortamda varlığını sürdürme girişimidir.
“GUI-vil, oluşturdukları yeni kimlikler için erişim anahtarları da oluşturacak, böylece kullanmaya devam edebilecekler. S3 Tarayıcı bu yeni kullanıcılarla,” şirket açıkladı.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Alternatif olarak, grup da görüldü oturum açma profilleri oluşturma AWS konsoluna kırmızı bayraklar yükseltmeden erişim sağlamak için bunlara sahip olmayan mevcut kullanıcılar için.
GUI-vil’in Endonezya ile olan bağlantıları, faaliyetlerle ilişkili kaynak IP adreslerinin Güneydoğu Asya ülkesinde bulunan iki Özerk Sistem Numarasına (ASN) bağlı olmasından kaynaklanmaktadır.
Araştırmacılar, “Grubun finansal olarak yönlendirilen birincil görevi, kripto madenciliği faaliyetlerini kolaylaştırmak için EC2 bulut sunucuları oluşturmaktır” dedi. “Birçok durumda kripto madenciliğinden elde ettikleri karlar, kurban kuruluşların EC2 bulut sunucularını çalıştırmak için ödemek zorunda oldukları masrafın sadece bir kısmıdır.”
Popular Articles
- 11 Jul Yeni Nokia Hayal Kırıklığı Yaratıyor!
- 31 Jul Kendisini polis diye tanıtarak dolandırıcılık yapan şahıs tutuklandı
- 19 Jul Müziklerinden Çok Hakkındaki Dedikodularıyla Efsaneleşen Kadınlardan Kurulu Rock Grubu: Volvox
- 24 Jul Süt ve Yemek Taşacak Diye Endişe Etmeye Son! 3 Pratik Yöntemle Kaygılarınızdan Arının
- 15 Aug Makedonya Meclisi isim değişikliğini onayladı - Son Dakika Haberler
Latest Articles
- 01 Aug En iyi Assassin’s Creed oyunu en kötü üne sahiptir
- 01 Aug Realme resmi olarak Türkiye’ye geliyor!
- 16 Jul Pornhub Teksası engelledikten sonra insanların aradığı en iyi 10 VPN
- 16 Jul Apex Legends Yayıncıları ALGS Turnuvası Sırasında Hacklendi ve Şüpheli Sebep İronik
- 31 Jul Samsun’da minikler, atık malzemelerden hazırlanan kıyafetlerle defile sundu