Permiso P0 Labs đã xác định một nhóm tấn công có mục đích tài chính có nguồn gốc ở Indonesia sử dụng các thực thể của dịch vụ Amazon Web Services (AWS) Elastic Compute Cloud (EC2) để thực hiện các hoạt động khai thác tiền điện tử. Được gọi là GUI-vil (phát âm là Goo-ee-vil), nhóm này được biết đến với sự sử dụng các công cụ giao diện người dùng đồ họa (GUI), đặc biệt là S3 Browser (phiên bản 9.5.5), và sử dụng các khóa AWS tìm thấy trong các kho lưu trữ mã nguồn công cộng trên GitHub hoặc GitLab bị nhiễm lỗ hổng thực thi mã xa. Sau khi đạt được quyền truy cập, tấn công giả sẽ thực hiện việc theo dõi để xem các bộ thông tin S3 và dịch vụ có thể truy cập thông qua bảng điều khiển web của AWS, sau đó tạo ra các người dùng mới hoặc khóa truy cập cho các người dùng hiện có để tránh bị phát hiện và duy trì trong môi trường của nạn nhân. Các địa chỉ IP nguồn liên kết với các hoạt động được liên kết với hai số Autonomous System (ASN) đặt ở Indonesia, và mục tiêu chính của nhóm là tạo lợi nhuận từ khai thác tiền điện tử. Thật không may, chi phí chạy các thực thể EC2 thường vượt quá lợi nhuận được tạo ra bởi nhóm.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.