P0 Labs ha identificato un attore minaccioso motivato finanziariamente di origine indonesiana che sfrutta le istanze di Amazon Web Services (AWS) Elastic Compute Cloud (EC2) per condurre operazioni di crypto mining. Chiamato GUI-vil (pronunciato Goo-ee-vil), il gruppo è noto per l’utilizzo di strumenti di Interfaccia Grafica (GUI), in particolare S3 Browser (versione 9.5.5), e per l’armaizzazione di chiavi AWS trovate nei repository di codice sorgente pubblici su GitHub o GitLab vulnerabili a vulnerabilità di esecuzione remota di codice. Dopo aver ottenuto l’accesso, l’attore minaccioso eseguirà una ricognizione per revisionare i bucket S3 e i servizi accessibili tramite la console web AWS, quindi creerà nuovi utenti o chiavi di accesso per gli utenti esistenti per mimetizzarsi e persistere nell’ambiente della vittima. Gli indirizzi IP sorgente associati alle attività sono collegati a due numeri di sistema autonomo (ASN) situati in Indonesia, e l’obiettivo principale del gruppo è generare profitti dal crypto mining. Purtroppo, i costi di esecuzione delle istanze EC2 spesso superano i profitti ottenuti dal gruppo.
Source: Hackernews
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.