Permiso P0 Labs ha identificat un actor motivat financerament d’origen indonesi que fa servir instàncies d’Amazon Web Services (AWS) Elastic Compute Cloud (EC2) per dur a terme operacions de mineria criptogràfica. Anomenat GUI-vil (pronunciat Goo-ee-vil), el grup és conegut per la seva utilització d’eines d’interfície gràfica d’usuari (GUI), específicament S3 Browser (versió 9.5.5), i armar claus AWS trobades en repositoris de codi font públics a GitHub o instàncies GitLab vulnerables a errors d’execució de codi remot. Després d’aconseguir l’accés, l’actor de la amenaza realitzarà reconeixement per revisar els dipòsits S3 i els serveis accessibles a través de la consola web de AWS, i després crearà nous usuaris o claus d’accés per a usuaris existents per integrar-se i persistir en l’entorn de la víctima. Les adreces IP d’origen associades a les activitats estan vinculades a dos nombres de sistema autònoms (ASN) situats a Indonèsia, i l’objectiu principal del grup és generar guanys a partir de la mineria criptogràfica. Desgraciadament, els costos de funcionament de les instàncies EC2 sovint superen els guanys aconseguits pel grup.
Source: Hackernews
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.