P0 Labs ha identificado a un actor amenazador motivado financieramente de origen indonesio que aprovecha las instancias de Amazon Web Services (AWS) Elastic Compute Cloud (EC2) para llevar a cabo operaciones de minería de criptomonedas. Conocido como GUI-vil (pronunciado Goo-ee-vil), el grupo es conocido por su uso de herramientas de Interfaz Gráfica de Usuario (GUI), específicamente S3 Browser (versión 9.5.5), y armar claves de AWS encontradas en repositorios de código fuente públicos en GitHub o instancias de GitLab vulnerables a fallas de ejecución remota de código. Después de obtener acceso, el actor amenazador realizará una recopilación de información para revisar los cubos S3 y los servicios accesibles a través de la consola web de AWS, y luego creará nuevos usuarios o claves de acceso para usuarios existentes para pasar desapercibidos y persistir en el entorno de la víctima. Las direcciones IP de origen asociadas con las actividades están vinculadas a dos Números de Sistema Autónomo (ASN) ubicados en Indonesia, y el principal objetivo del grupo es generar ganancias a partir de la minería de criptomonedas. Desafortunadamente, los costos de ejecución de las instancias de EC2 a menudo superan las ganancias obtenidas por el grupo.
Source: Hackernews
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.