- Saldırganlar, EC2 ve ECS’de büyük ölçekli kripto madenciliği hızla dağıtmak için çalıntı yüksek ayrıcalıklı IAM kimlik bilgilerini kullandı
- GPU ağırlıklı otomatik ölçeklendirme gruplarını, kötü amaçlı Fargate kapsayıcılarını, yeni IAM kullanıcılarını ve kapanmaya karşı korunan örnekleri başlattılar
- AWS sıkı IAM hijyeni çağrısında bulunuyor: Her yerde MFA, geçici kimlik bilgileri ve en az ayrıcalıklı erişim
Siber suçlular hedef alıyor Amazon Uzmanlar, Amazon EC2 ve Amazon ECS’yi kripto korsanlarla kullanan Web Hizmetleri (AWS) müşterilerini uyardı.
bulut Dev, yakın zamanda devam eden kampanya hakkında uyardı raporsorunun o zamandan beri ele alındığını ancak müşterilerin bu tür saldırıların kolayca yeniden ortaya çıkabileceği için dikkatli olmalarını istedi.
Kasım 2025’in başlarında Amazon GuardDuty mühendisleri, birden fazla AWS hesabında aynı tekniklerin görüldüğünü gözlemledikten sonra saldırıyı tespit etti. Daha sonra yapılan bir araştırma, kötü niyetli kişilerin AWS’deki bilinen veya bilinmeyen herhangi bir güvenlik açığından yararlanmadığını belirledi. Bunun yerine, erişim elde etmek için üst düzey izinlere sahip, güvenliği ihlal edilmiş AWS Identity and Access Management (IAM) kimlik bilgilerine güvendiler. İçeri girdikten sonra, büyük ölçekli madencilik altyapısını bulut ortamına dağıtmak için erişimi kullanacaklar.
Şifrelerinizi güçlendirin
Amazon’un raporu, çoğu kripto madencisinin ilk erişimden birkaç dakika sonra çalışır duruma geldiğini belirtiyor. Saldırganlar hızla hizmet kotalarını ve izinlerini numaralandırmak için harekete geçti ve ardından düzinelerce ECS kümesini ve büyük EC2 otomatik ölçeklendirme gruplarını başlattı. Bazı durumlarda bunlar, bilgi işlem tüketimini en üst düzeye çıkarmak amacıyla hızla büyüyecek şekilde yapılandırıldı.
Bilgisayar korsanları saldırıya ECS ve EC2’de farklı yaklaştı. İlkinde, Docker Hub’da barındırılan ve madenciyi AWS Fargate’te çalıştıran kötü amaçlı konteyner görüntülerini dağıttılar.
Ancak ikincisinde, yüksek performanslı GPU örneklerinin yanı sıra genel amaçlı bilgi işlem örneklerini hedefleyen birden fazla başlatma şablonu ve otomatik ölçeklendirme grubu oluşturdular.
Amazon ayrıca, dolandırıcıların tehlikeye atılan uç noktaların kolayca kapatılmasını veya uzaktan düzeltilmesini önlemek için örnek sonlandırma korumasını kullandığını da ekledi.
Ayrıca herkesin erişebileceği AWS Lambda işlevleri ve ek IAM kullanıcıları da oluşturdular.
Amazon, bu saldırılara karşı savunmanın kolay olduğunu ima ediyor. Tek gereken güçlü bir şifre:
Raporda “Benzer kripto madenciliği saldırılarına karşı korunmak için AWS müşterilerinin güçlü kimlik ve erişim yönetimi kontrollerine öncelik vermesi gerekiyor” deniyor. “Uzun vadeli erişim anahtarları yerine geçici kimlik bilgileri uygulayın, tüm kullanıcılar için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın ve erişimi yalnızca gerekli izinlerle sınırlayan IAM sorumlularına en az ayrıcalık uygulayın.”
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.