توییت
یک عامل تهدید با انگیزه مالی با منشاء اندونزیایی مشاهده شده است که از نمونه های ابر محاسباتی الاستیک (EC2) خدمات وب آمازون (AWS) برای انجام عملیات استخراج غیرقانونی کریپتو استفاده می کند.
شرکت امنیت ابری Permiso P0 Labs که اولین بار این گروه را در نوامبر 2021 شناسایی کرد، نام GUI-vil (تلفظ Goo-ee-vil) را به آن اختصاص داده است.
این شرکت در گزارشی که با The Hacker News به اشتراک گذاشته شده است، میگوید: «این گروه برای ابزارهای رابط کاربری گرافیکی (GUI) به ویژه مرورگر S3 (نسخه 9.5.5) برای عملیات اولیه خود ترجیح میدهند. پس از دسترسی به کنسول AWS، آنها عملیات خود را مستقیماً از طریق مرورگر وب انجام می دهند.
زنجیرههای حمله نصبشده توسط GUI-vil مستلزم دستیابی به دسترسی اولیه با استفاده از کلیدهای AWS در مخازن کد منبع عمومی در GitHub یا اسکن نمونههای GitLab است که در برابر نقصهای اجرای کد از راه دور آسیبپذیر هستند (مانند CVE-2021-22205).
یک ورود موفقیت آمیز با افزایش امتیاز و شناسایی داخلی برای بررسی همه سطل های S3 موجود و تعیین سرویس هایی که از طریق کنسول وب AWS قابل دسترسی هستند، دنبال می شود.
AWS Crypto Mining
یکی از جنبه های قابل توجه شیوه عملیات عامل تهدید، تلاش آن برای ادغام و تداوم در محیط قربانی با ایجاد کاربران جدیدی است که با همان قرارداد نامگذاری مطابقت دارند و در نهایت به اهداف آن می رسند.
Ian Ahl و Daniel Bohannon از محققان P0 Labs توضیح دادند: "GUI-vil همچنین کلیدهای دسترسی را برای هویت های جدیدی که ایجاد می کنند ایجاد می کند تا بتوانند به استفاده از مرورگر S3 با این کاربران جدید ادامه دهند."
از طرف دیگر، این گروه همچنین مشاهده شده است که پروفایل های ورود به سیستم را برای کاربران فعلی که آنها را ندارند ایجاد می کند تا بدون برافراشتن پرچم قرمز، دسترسی به کنسول AWS را امکان پذیر کند.
پیوندهای GUI-vil به اندونزی از این واقعیت ناشی میشوند که آدرسهای IP منبع مرتبط با فعالیتها به دو شماره سیستم خودمختار (ASN) واقع در کشور آسیای جنوب شرقی مرتبط هستند.
محققان میگویند: «مأموریت اصلی این گروه، با محوریت مالی، ایجاد نمونههای EC2 برای تسهیل فعالیتهای استخراج رمزارز آنها است. در بسیاری از موارد، سودی که از استخراج کریپتو به دست میآورند، تنها بخشی از هزینهای است که سازمانهای قربانی باید برای اجرای نمونههای EC2 بپردازند.»
شرکت امنیت ابری Permiso P0 Labs که اولین بار این گروه را در نوامبر 2021 شناسایی کرد، نام GUI-vil (تلفظ Goo-ee-vil) را به آن اختصاص داده است.
این شرکت در گزارشی که با The Hacker News به اشتراک گذاشته شده است، میگوید: «این گروه برای ابزارهای رابط کاربری گرافیکی (GUI) به ویژه مرورگر S3 (نسخه 9.5.5) برای عملیات اولیه خود ترجیح میدهند. پس از دسترسی به کنسول AWS، آنها عملیات خود را مستقیماً از طریق مرورگر وب انجام می دهند.
زنجیرههای حمله نصبشده توسط GUI-vil مستلزم دستیابی به دسترسی اولیه با استفاده از کلیدهای AWS در مخازن کد منبع عمومی در GitHub یا اسکن نمونههای GitLab است که در برابر نقصهای اجرای کد از راه دور آسیبپذیر هستند (مانند CVE-2021-22205).
یک ورود موفقیت آمیز با افزایش امتیاز و شناسایی داخلی برای بررسی همه سطل های S3 موجود و تعیین سرویس هایی که از طریق کنسول وب AWS قابل دسترسی هستند، دنبال می شود.
AWS Crypto Mining
یکی از جنبه های قابل توجه شیوه عملیات عامل تهدید، تلاش آن برای ادغام و تداوم در محیط قربانی با ایجاد کاربران جدیدی است که با همان قرارداد نامگذاری مطابقت دارند و در نهایت به اهداف آن می رسند.
Ian Ahl و Daniel Bohannon از محققان P0 Labs توضیح دادند: "GUI-vil همچنین کلیدهای دسترسی را برای هویت های جدیدی که ایجاد می کنند ایجاد می کند تا بتوانند به استفاده از مرورگر S3 با این کاربران جدید ادامه دهند."
از طرف دیگر، این گروه همچنین مشاهده شده است که پروفایل های ورود به سیستم را برای کاربران فعلی که آنها را ندارند ایجاد می کند تا بدون برافراشتن پرچم قرمز، دسترسی به کنسول AWS را امکان پذیر کند.
پیوندهای GUI-vil به اندونزی از این واقعیت ناشی میشوند که آدرسهای IP منبع مرتبط با فعالیتها به دو شماره سیستم خودمختار (ASN) واقع در کشور آسیای جنوب شرقی مرتبط هستند.
محققان میگویند: «مأموریت اصلی این گروه، با محوریت مالی، ایجاد نمونههای EC2 برای تسهیل فعالیتهای استخراج رمزارز آنها است. در بسیاری از موارد، سودی که از استخراج کریپتو به دست میآورند، تنها بخشی از هزینهای است که سازمانهای قربانی باید برای اجرای نمونههای EC2 بپردازند.»