Permiso P0 Labs выявил финансово мотивированного злоумышленника из Индонезии, который использует экземпляры Amazon Web Services (AWS) Elastic Compute Cloud (EC2) для проведения операций по добыче криптовалюты. Этот актёр, которого называют GUI-vil (произносится Гуи-вил), известен использованием инструментов графического интерфейса пользователя (GUI), в частности S3 Browser (версия 9.5.5), и орудует ключами AWS, найденными в публичных репозиториях исходного кода на GitHub или экземплярах GitLab, уязвимых для ошибок удаленного выполнения кода. Получив доступ, злоумышленник проводит разведку, чтобы просмотреть доступные через веб-консоль AWS S3 бакеты и службы, а затем создает новых пользователей или ключи доступа для существующих пользователей, чтобы вписаться в окружение жертвы. IP-адреса, связанные с этой деятельностью, принадлежат двум автономным системным номерам (ASNs), расположенным в Индонезии, и основная цель группы – получение прибыли от добычи криптовалюты. К сожалению, затраты на работу экземпляров EC2 часто превышают доходы группы.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.