- Penyerang menggunakan kredensial IAM hak istimewa tinggi yang dicuri untuk menyebarkan penambangan kripto skala besar dengan cepat di EC2 dan ECS
- Mereka meluncurkan grup penskalaan otomatis yang sarat GPU, container Fargate yang berbahaya, pengguna IAM baru, dan instance yang terlindungi dari penghentian
- AWS mendesak kebersihan IAM yang ketat: MFA di mana saja, kredensial sementara, dan akses dengan hak paling rendah
Penjahat dunia maya menargetkan Amazon Pelanggan Layanan Web (AWS) yang menggunakan Amazon EC2 dan Amazon ECS dengan cryptojackers, pakar telah memperingatkan.
Itu awan raksasa memperingatkan tentang kampanye yang sedang berlangsung baru-baru ini laporanmengatakan bahwa masalah tersebut telah diatasi, namun menghimbau pelanggan untuk berhati-hati karena serangan seperti ini dapat dengan mudah muncul kembali.
Pada awal November 2025, teknisi Amazon GuardDuty mendeteksi serangan tersebut setelah mengamati teknik yang sama muncul di beberapa akun AWS. Investigasi selanjutnya menentukan bahwa pelaku kejahatan tidak mengeksploitasi kerentanan yang diketahui atau tidak diketahui di AWS itu sendiri. Sebaliknya, mereka mengandalkan kredensial AWS Identity and Access Management (IAM) yang telah disusupi dengan izin tingkat tinggi untuk mendapatkan akses. Begitu masuk, mereka akan menggunakan akses tersebut untuk menyebarkan infrastruktur penambangan skala besar ke dalam lingkungan cloud.
Perkuat kata sandi Anda
Laporan Amazon menyatakan bahwa sebagian besar penambang kripto aktif dan berjalan dalam beberapa menit setelah akses awal. Para penyerang bergerak cepat untuk menghitung kuota layanan dan izin, lalu meluncurkan lusinan klaster ECS dan grup penskalaan otomatis EC2 yang besar. Dalam beberapa kasus, hal ini dikonfigurasikan untuk tumbuh dengan cepat, guna memaksimalkan konsumsi komputasi.
Para peretas melakukan pendekatan serangan secara berbeda pada ECS dan EC2. Pada versi pertama, mereka menerapkan image container berbahaya yang dihosting di Docker Hub, yang mengeksekusi penambang di AWS Fargate.
Namun pada yang terakhir, mereka membuat beberapa templat peluncuran dan grup penskalaan otomatis yang menargetkan instans GPU berperforma tinggi, serta instans komputasi tujuan umum.
Amazon juga menambahkan para penjahat menggunakan perlindungan penghentian instans untuk mencegah titik akhir yang disusupi agar tidak mudah dimatikan atau diperbaiki dari jarak jauh.
Mereka juga membuat fungsi AWS Lambda yang dapat diakses publik dan juga pengguna IAM tambahan.
Bertahan dari serangan ini mudah, saran Amazon. Yang diperlukan hanyalah kata sandi yang kuat:
“Untuk melindungi dari serangan penambangan kripto serupa, pelanggan AWS harus memprioritaskan kontrol manajemen identitas dan akses yang kuat,” katanya dalam laporan tersebut. “Terapkan kredensial sementara alih-alih kunci akses jangka panjang, terapkan autentikasi multi-faktor (MFA) untuk semua pengguna, dan terapkan hak istimewa paling rendah pada prinsipal IAM yang membatasi akses hanya pada izin yang diperlukan.”
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
