セキュリティ研究者らは、GitHub リポジトリを自律的に複製し、公開された AWS 認証情報を盗む、数年にわたるクリプトジャッキング キャンペーンを発見したと主張しています。
Palo Alto Networks の Unit 42 の研究者によって「EleKtra-Leak」と名付けられたこの攻撃の背後にいる犯罪者は、AWS の認証情報が GitHub リポジトリで公開されてから 5 分以内に定期的に盗んでいるとされています。
数分後には、複数のAmazon Elastic Compute Cloud(EC2)インスタンスを可能な限り多くのリージョンで起動し、Moneroをマイニングできるようになります。研究者たちは、8月30日から10月6日までの約1ヶ月強の間に、「潜在的にアクターが制御するEC2インスタンス」によって運用されている474台のマイナーを特定しました。
初期テストでは、GitHub のシークレットスキャン機能はほぼ意図したとおりに動作し、クラウドプロバイダーのリポジトリ内の公開された認証情報を AWS に通知し、数分以内に悪用を防ぐポリシーを発行したことが示されました。
「脅威の攻撃者は、AWS によって自動的に検出されない公開された AWS キーを見つけ、その後 AWSCompromisedKeyQuarantine ポリシーの外でこれらのキーを制御できる可能性があると考えています」と、Unit 42 のクラウド脅威インテリジェンス担当シニア主席研究員ウィリアム・ガマゾ氏とマネージャーのナサニエル・クイスト氏は述べた。
我々の証拠によれば、彼らはそうした可能性が高い。その場合、脅威アクターは、被害者からリソースを盗むという悪意のある行為をポリシーによって妨害されることなく、攻撃を続行できるだろう。
GitHubとAWSが連携してAWSキーの漏洩対策として一定レベルの保護を実施しているとしても、すべてのケースがカバーされるわけではありません。コミット時にリポジトリをスキャンするなど、CI/CDのセキュリティ対策は個別に実施することを強くお勧めします。
AWS の隔離ポリシーは攻撃を阻止するのに効果的であり、研究者はそれを独自のリポジトリで上書きし、攻撃者の意図どおりに実行することでキャンペーンの可視性を高めることができました。
Unit 42 はThe Registerに対し、調査で発見された認証情報は、AWS ポリシーが迅速に適用されたにもかかわらず、攻撃者によって GitHub 経由で入手されたことを確認したが、攻撃者は研究者の調査範囲外で複数の方法を使用して AWS ログイン情報を入手した証拠も示した。
現在の予測では、攻撃者は GitHub 経由ではなく他の手段で認証情報を取得しているか、または別のプラットフォームで公開されている認証情報を発見していると思われます。
「AWSの隔離ポリシーが成功したにもかかわらず、攻撃キャンペーンでは侵害された被害者のアカウントの数と頻度が継続的に変動し続けている」と研究者らは述べている。
このキャンペーンがまだアクティブな理由についてはいくつかの憶測があり、このキャンペーンは公開された GitHub 認証情報や Amazon EC2 インスタンスの標的化だけに焦点を当てているわけではないということも挙げられます。
認証情報を入手すると、犯罪者はVPN経由で偵察活動を行い、アカウント自体の詳細(有効化されているリージョンなど)を把握します。その後、セキュリティグループを作成し、アカウントで有効化されているリージョンすべてにEC2インスタンスを起動します。
- クリプトジャッカーはEC2だけでなく、他のものも狙っている
- 日本の最高裁判所は、クリプトジャッキングスクリプトはマルウェアではないと判決した。
- 偽の暗号通貨アプリがわずか数ヶ月で数百万ドルを盗む
- AstraLockerランサムウェアがクリプトジャッキングの道を閉ざしたと報道
「CloudTrailのログによると、複数のリージョンで同じ操作を繰り返し、合計400回以上のAPI呼び出しを生成し、かかった時間はわずか7分だった」と研究者らは述べた。
「これは、攻撃者が AWS アカウント環境に対して自動攻撃を仕掛けながら、自分の身元をうまく隠蔽できたことを示しています。」
EleKtra-Leakキャンペーンの攻撃チェーンの図
起動されたEC2インスタンスは大規模形式で、ほとんどがc5a.24xlargeタイプでした。攻撃者により多くの処理リソースを提供し、より迅速な結果をもたらすため、クリプトジャッキングキャンペーンではこうしたインスタンスが使用されるのが一般的です。
Googleドライブは悪意のあるマイニングペイロードをホストしています。正規サービスの利用は、セキュリティ対策が充実していることから、攻撃者にますます利用される戦術となっています。Googleドライブの場合、プラットフォームのURLは匿名であり、特定のGoogleアカウントにリンクすることはできません。
これは、研究者にとって攻撃の帰属特定を困難にした一つの手法に過ぎません。もう一つの問題は、攻撃者がプライバシー保護機能が組み込まれた暗号通貨であるモネロのマイニングを目的としていたことで、これもまたウォレットの所有者を追跡する能力を制限していました。
マイナーのペイロードは暗号化されたファイルとして保存され、ダウンロード後に復号化される。研究者らは、これは2021年の以前のキャンペーンと類似していると述べた。
Intezerは以前、最新の例と同じハッシュを持つマルウェアを使用したクリプトジャッキングキャンペーンを記録しており、研究者は少なくともこれら2つのキャンペーンは関連している可能性があると考えている。
GitHub 経由で AWS 認証情報が漏洩する脅威を軽減する方法を探している人にとって、シークレットスキャンを構成することは、悪用を防ぐのに非常に効果的なツールであることが示されています。
研究者らは、公開された AWS 認証情報を使用して行われた API 接続は直ちに取り消されるべきだと述べています。®
