駭客僅5分鐘竊取AWS憑證　EleKtra-Leak行動曝光

編譯／Cynthia

最近的報導顯示，一個名為EleKtra-Leak的新行動引發網路安全警示。該行動目標是在AWS IAM（身分識別和訪問管理）憑證在GitHub上公開數分鐘後，即時竊取這些憑證，他們的目的是利用受駭的AWS帳戶進行虛擬貨幣挖礦。

駭客多管齊下

這些駭客不僅是憑運氣，而是運用多個Amazon EC2擴大攻擊範圍，並確保在虛擬貨幣挖礦攻擊中保持持久性。報告指出，這項活動自2020年以來一直處於活躍狀態，並專門針對Monero進行挖礦。更令人擔憂的是，在2023年8月至10月間，有整整474個獨立的Amazon EC2實例參與Monero的挖礦活動。

更多新聞：Telegram、AWS、Alibaba Cloud受攻擊！新型隱藏惡意程式威脅逐步浮出水面

GitHub自動掃描，四分鐘內完成

令人震驚的是，這些駭客的攻擊速度驚人，僅需四分鐘。這表明他們利用自動掃描工具，迅速複製並檢索在GitHub上公開的AWS IAM憑證。這些駭客似乎還參與了2021年的另一個虛擬貨幣挖礦活動，該活動使用相同的軟體針對安全性較低的Docker服務發動攻擊。

GitHub秘密掃描與AWS漏洞

更令人不安的是，這些駭客能夠找到GitHub的秘密掃描功能和AWS受損金鑰隔離政策（AWSCompromisedKeyQuarantine）中的漏洞。AWS受損金鑰隔離政策讓AWS憑證在GitHub上公開的兩分鐘內應用，但這也表明駭客使用了未被識別的方法，以找到這些公開的憑證。

虛擬貨幣挖礦

他們利用竊取的憑證，首先進行初始資訊收集，接著建立新的AWS安全群組，再啟用多個EC2實例，這些實例遠距分布於不同地區，同時使用虛擬私人網路（VPN）進行保護。值得一提的是，為了進行虛擬貨幣的挖礦活動，他們採用高處理能力的c5a.24xlarge EC2實例，這類實例能夠在極短時間內執行更多的虛擬貨幣挖礦操作。

引發全球網路安全警示

總結來說，EleKtra-Leak活動揭示了駭客的高度網路威脅，他們能夠在極短的時間內竊取AWS憑證，並進行虛擬貨幣挖礦。此外，他們運用自動掃描工具，快速尋找漏洞，這引發了對GitHub安全性的重大關注。台灣和全球的網路安全專家需不懈努力應對這種威脅，以確保資料和資訊的安全。

資料來源：Cyber Security News

瀏覽 633 次