Một chiến dịch đang diễn ra đã được phát hiện nhắm mục tiêu vào các khách hàng Amazon Web Services (AWS) sử dụng thông tin đăng nhập Identity and Access Management (IAM) bị xâm phạm để thực hiện đào tiền mã hóa.
Hoạt động này, lần đầu tiên được phát hiện bởi dịch vụ phát hiện mối đe dọa được quản lý GuardDuty của Amazon và các hệ thống giám sát an ninh tự động của họ vào ngày 2 tháng 11 năm 2025, sử dụng các kỹ thuật duy trì quyền truy cập chưa từng thấy trước đây để cản trở quá trình ứng phó sự cố và tiếp tục hoạt động không bị gián đoạn, theo một báo cáo mới được gã khổng lồ công nghệ chia sẻ trước khi công bố.
"Hoạt động từ một nhà cung cấp dịch vụ lưu trữ bên ngoài, kẻ tấn công đã nhanh chóng liệt kê các tài nguyên và quyền trước khi triển khai tài nguyên đào tiền mã hóa trên ECS và EC2," Amazon cho biết. "Trong vòng 10 phút kể từ khi kẻ tấn công có được quyền truy cập ban đầu, các máy đào tiền mã hóa đã đi vào hoạt động."
Chuỗi tấn công nhiều giai đoạn này về cơ bản bắt đầu bằng việc kẻ thù không xác định lợi dụng thông tin đăng nhập người dùng IAM bị xâm phạm với các đặc quyền quản trị để khởi tạo giai đoạn khám phá, được thiết kế để thăm dò môi trường tìm kiếm EC2 service quotas và kiểm tra quyền của chúng bằng cách gọi API RunInstances với cờ "DryRun" được bật.
Việc bật cờ "DryRun" này là rất quan trọng và có chủ đích vì nó cho phép kẻ tấn công xác thực các quyền IAM của chúng mà không thực sự khởi chạy các instance, do đó tránh phát sinh chi phí và giảm thiểu dấu vết pháp y của chúng. Mục tiêu cuối cùng của bước này là xác định xem cơ sở hạ tầng mục tiêu có phù hợp để triển khai chương trình đào tiền hay không.
Kỹ thuật duy trì quyền truy cập mới và tận dụng các dịch vụ AWS
Sự lây nhiễm tiếp tục đến giai đoạn tiếp theo khi kẻ tấn công gọi CreateServiceLinkedRole và CreateRole để tạo các IAM roles cho autoscaling groups và AWS Lambda, tương ứng. Sau khi các role được tạo, chính sách "AWSLambdaBasicExecutionRole" được gắn vào Lambda role.
Trong hoạt động được quan sát cho đến nay, kẻ tấn công được cho là đã tạo ra hàng chục ECS clusters trên toàn bộ môi trường, trong một số trường hợp vượt quá 50 ECS clusters trong một cuộc tấn công duy nhất.
"Sau đó, chúng đã gọi RegisterTaskDefinition với một DockerHub image độc hại yenik65958/secret:user," Amazon cho biết. "Với cùng chuỗi được sử dụng để tạo cluster, kẻ tấn công sau đó đã tạo một service, sử dụng task definition để khởi tạo quá trình đào tiền mã hóa trên các ECS Fargate nodes."
DockerHub image, đã bị gỡ xuống, được cấu hình để chạy một shell script ngay sau khi được triển khai để khởi động quá trình đào tiền mã hóa bằng cách sử dụng thuật toán đào RandomVIREL. Ngoài ra, kẻ tấn công đã được quan sát tạo ra các autoscaling groups được đặt để mở rộng từ 20 đến 999 instances nhằm khai thác EC2 service quotas và tối đa hóa mức tiêu thụ tài nguyên.
Hoạt động EC2 đã nhắm mục tiêu vào cả các GPU hiệu suất cao và machine learning instances cũng như compute, memory và general-purpose instances.
Điều làm cho chiến dịch này nổi bật là việc sử dụng hành động ModifyInstanceAttribute với tham số "disableApiTermination" được đặt thành "True," ngăn không cho một instance bị chấm dứt bằng bảng điều khiển Amazon EC2, giao diện dòng lệnh hoặc API. Điều này, đến lượt nó, có tác dụng yêu cầu nạn nhân phải bật lại API termination trước khi xóa các tài nguyên bị ảnh hưởng.
"Tính năng bảo vệ chấm dứt instance có thể làm suy yếu khả năng ứng phó sự cố và làm gián đoạn các kiểm soát khắc phục tự động," Amazon cho biết. "Kỹ thuật này cho thấy sự hiểu biết về các quy trình phản ứng bảo mật thông thường và ý định tối đa hóa thời gian hoạt động của việc đào tiền."
Đây không phải là lần đầu tiên rủi ro bảo mật liên quan đến ModifyInstanceAttribute được đưa ra ánh sáng. Vào tháng 4 năm 2024, nhà nghiên cứu bảo mật Harsha Koushik đã chứng minh một PoC (proof-of-concept) chi tiết cách hành động này có thể bị lạm dụng để chiếm quyền điều khiển các instance, đánh cắp thông tin đăng nhập của instance role, và thậm chí chiếm quyền kiểm soát toàn bộ tài khoản AWS.
Hơn nữa, các cuộc tấn công còn bao gồm việc tạo một Lambda function có thể được gọi bởi bất kỳ chủ thể nào và một người dùng IAM "user-x1x2x3x4" mà chính sách được quản lý bởi AWS "AmazonSESFullAccess" được gắn vào, cấp cho kẻ tấn công quyền truy cập hoàn toàn vào Amazon Simple Email Service (SES) để có khả năng thực hiện các cuộc tấn công phishing.
Các biện pháp bảo vệ được khuyến nghị
Để bảo vệ khỏi mối đe dọa này, Amazon đang kêu gọi các khách hàng AWS làm theo các bước dưới đây:
- Thực thi các kiểm soát quản lý danh tính và truy cập mạnh mẽ
- Triển khai thông tin đăng nhập tạm thời thay vì khóa truy cập dài hạn
- Sử dụng multi-factor authentication (MFA) cho tất cả người dùng
- Áp dụng nguyên tắc đặc quyền tối thiểu (PoLP) cho các IAM principals để hạn chế quyền truy cập
- Thêm các kiểm soát bảo mật container để quét tìm các hình ảnh đáng ngờ
- Giám sát các yêu cầu cấp phát CPU bất thường trong ECS task definitions
- Sử dụng AWS CloudTrail để ghi lại các sự kiện trên các dịch vụ AWS
- Đảm bảo AWS GuardDuty được bật để tạo điều kiện cho các quy trình ứng phó tự động
"Việc kẻ tấn công sử dụng nhiều dịch vụ điện toán theo kịch bản, kết hợp với các kỹ thuật duy trì quyền truy cập mới nổi, thể hiện một bước tiến đáng kể trong các phương pháp tấn công đào tiền mã hóa."
