Быстрая и умная угроза: APT-группа за 10 минут захватила контроль над облаком AWS с помощью ИИ

Инцидент начался с компрометации учетных данных, ошибочно размещенных в публично доступных бакетах Simple Storage Service (S3). Эти бакеты содержали данные для Retrieval-Augmented Generation (RAG), используемые в AI-моделях. Скомпрометированный пользователь Identity and Access Management (IAM) обладал широкими правами на чтение и запись в AWS Lambda и ограниченным доступом к сервису Amazon Bedrock. Как выяснилось, организация-жертва создала его для автоматизации задач.

Получив доступ, злоумышленник немедленно начал активную разведку. Поскольку к учетной записи была привязана политика ReadOnlyAccess, он смог провести перечисление ресурсов в десятках сервисов AWS, включая Secrets Manager, Systems Manager (SSM), Elastic Compute Cloud (EC2) и другие. Особое внимание уделялось AI-сервисам: Bedrock, OpenSearch Serverless и SageMaker. Затем атакующий перешел к эскалации привилегий через инъекцию кода в Lambda-функцию.

Владея разрешениями UpdateFunctionCode и UpdateFunctionConfiguration, злоумышленник трижды модифицировал существующую функцию с именем EC2-init. Конечная версия загруженного кода, комментарии в которой были на сербском языке, выполняла три ключевые операции: перечисление всех пользователей IAM, создание ключей доступа для администратора с ником "frick" и листинг содержимого S3-бакетов. Скорость написания, качество обработки исключений и структура кода явно указывают на его генерацию с помощью LLM. Функция имела привязанную административную роль исполнения, что позволило злоумышленнику создать ключи для привилегированного пользователя. Весь путь от кража учетных данных до успешного выполнения Lambda занял всего восемь минут.

Обладая административными правами, атакующий начал активное перемещение по инфраструктуре. Он скомпрометировал в общей сложности 19 уникальных субъектов AWS: шесть IAM-ролей и пять пользователей, а также создал нового пользователя "backdoor-admin" с политикой AdministratorAccess. Интересно, что при попытках предположить роли в других аккаунтах организации злоумышленник указал несколько несуществующих идентификаторов, включая 123456789012 и 210987654321. Подобное поведение, напоминающее "галлюцинации" искусственного интеллекта, является еще одним косвенным свидетельством использования LLM в ходе операции.

Следующей целью стало хищение данных. Используя нового администратора, злоумышленник собрал секреты из Secrets Manager, параметры из SSM, логи CloudWatch, исходный код Lambda-функций и внутренние данные из S3. Кроме того, он проанализировал результаты IAM Access Analyzer, что дало ему ценную информацию об архитектуре среды и потенциальных векторах для дальнейших атак.

Особое внимание в атаке уделялось сервису Amazon Bedrock. Исследователи идентифицировали тактику LLMjacking, при которой злоумышленник использует скомпрометированный аккаунт для получения доступа к облачным LLM. Проверив, что логирование вызовов моделей отключено, атакующий начал активное их использование. Он вызывал разнообразные модели, включая Claude Sonnet 4, Claude Opus 4, DeepSeek R1 и Llama 4 Scout. Для некоторых вызовов использовалась кросс-региональная инфраструктура, что повышает производительность.

Затем фокус сместился на злоупотребление вычислительными ресурсами. Злоумышленник попытался запустить мощные GPU-инстансы p5.48xlarge для, предположительно, обучения моделей. После нескольких неудачных попыток из-за нехватки мощности был успешно запущен инстанс p4d.24xlarge с ежемесячной стоимостью около $23 600. В пользовательские данные инстанса был встроен скрипт для автоматической настройки окружения для машинного обучения, который также запускал публично доступный сервер JupyterLab на порту 8888, создавая бэкдор. Интересно, что скрипт ссылался на несуществующий репозиторий на GitHub, что также может указывать на его LLM-происхождение. Инстанс был остановлен через пять минут по неизвестной причине.

Для усложнения расследования атакующий использовал несколько техник. Он применял инструмент для ротации IP-адресов, меняя исходный адрес для каждого запроса. Кроме того, распределение операций между множеством субъектов AWS значительно затрудняло отслеживание. В некоторых случаях использовалась цепочка предположений ролей (role chaining).

Эксперты Sysdig TRT предлагают ряд мер для защиты от подобных атак. Ключевой рекомендацией является строгое следование принципу наименьших привилерий для всех пользователей и ролей IAM, включая роли исполнения Lambda. Критически важно ограничивать разрешения UpdateFunctionCode и UpdateFunctionConfiguration, а также использовать контроль версий для Lambda-функций. Необходимо обеспечивать приватность S3-бакетов, содержащих чувствительные данные, и включать логирование вызовов моделей в Bedrock. Для ограничения неавторизованного создания ресурсов можно использовать политики контроля сервисов (Service Control Policies, SCP).

Данная атака демонстрирует новую эру киберугроз, где скорость и автоматизация, обеспеченные искусственным интеллектом, становятся критическими факторами. Комбинация LLM-ассистированных операций, молниеносной эскалации привилегий и злоупотребления дорогостоящими облачными ресурсами задает новый опасный тренд. Организациям необходимо уделять повышенное внимание не только профилактическим мерам, но и runtime-обнаружению аномальной активности в своих облачных средах.

IPv4

• 103.177.183.165
• 104.155.129.177
• 104.155.178.59
• 104.197.169.222
• 136.113.159.75
• 152.58.47.83
• 194.127.167.92
• 197.51.170.131
• 204.152.223.172
• 34.171.37.34
• 34.173.176.171
• 34.30.49.235
• 34.63.142.34
• 34.66.36.38
• 34.69.200.125
• 34.9.139.206
• 35.188.114.132
• 35.192.38.204