Primijećeno je da finansijski motivisan haker indonezijskog porijekla koristi instance Amazon Web Services (AWS) Elastic Compute Cloud (EC2) za obavljanje nezakonitih operacija rudarenja kriptovaluta.
Permiso P0 Labs kompanije za zaštitu Cloud-a, koja je prvi put otkrila grupu u novembru 2021. godine, dodijelila joj je nadimak GUI-vil (izgovara se Goo-ee-vil).
„Grupa pokazuje preferenciju za alate grafičkog korisničkog interfejsa (GUI), posebno za S3 pretraživač (verzija 9.5.5) za svoje početne operacije“ navodi kompanija u izveštaju koji je podeljen za The Hacker News. “Kada dobiju pristup AWS konzoli, svoje operacije obavljaju direktno preko web pretraživača.”
Lanci napada koje montira GUI-vil podrazumevaju dobijanje početnog pristupa naoružavanjem AWS ključeva u javno izloženim repozitorijumima izvornog koda na GitHub-u ili skeniranjem za GitLab instance koje su ranjive na greške u daljinskom izvršavanju koda (npr. CVE-2021-22205).
Nakon uspješnog ulaska slijedi eskalacija privilegija i interno izviđanje radi pregleda svih dostupnih S3 bucket-a i određivanja usluga koje su dostupne putem AWS web konzole.
Značajan aspekt modus operand hakera je njegov pokušaj da se uklopi i opstane u okruženju žrtve stvaranjem novih korisnika koji su u skladu sa istom konvencijom imenovanja i na kraju ispunjavaju njene ciljeve.
„GUI-vil će takođe kreirati pristupne ključeve za nove identitete koje kreiraju kako bi mogli da nastave da koriste S3 pretraživač sa ovim novim korisnicima“ objasnili su istraživači P0 Labs Ian Ahl i Daniel Bohannon.
Alternativno, grupa je takođe primijećena kako kreira profile za prijavu za postojeće korisnike koji ih nemaju kako bi omogućili pristup AWS konzoli bez podizanja crvenih zastavica.
GUI-vil veze sa Indonezijom proizlaze iz činjenice da su izvorne IP adrese povezane sa aktivnostima sa dva broja autonomnog sistema (ASN) koji se nalaze u zemlji jugoistočne Azije.
“Primarna misija grupe, finansijski vođena, je stvaranje EC2 instanci kako bi se olakšale njihove aktivnosti kripto rudarenja” rekli su istraživači. “U mnogim slučajevima profit koji ostvaruju od kripto rudarenja samo je djelić troška koje organizacije žrtve moraju platiti za pokretanje EC2 instanci.”
Izvor: The Hacker News