EleKtra-Leak Operation IOCs

Исследователи компании Unit 42 выявили активную кампанию, получившую название EleKtra-Leak, в рамках которой осуществляется автоматизированный поиск открытых учетных данных для управления идентификацией и доступом (IAM) в публичных репозиториях GitHub. В результате субъект, связанный с этой кампанией, смог создать несколько экземпляров AWS Elastic Compute (EC2), которые использовались для широкомасштабных и продолжительных операций криптоджекинга. Мы полагаем, что эти операции проводились в течение как минимум двух лет и продолжаются по сей день.

Unit 42 обнаружили, что злоумышленник смог обнаружить и использовать открытые учетные данные IAM в течение пяти минут после их первоначального обнародования на GitHub. Этот результат наглядно демонстрирует, как угрожающие субъекты могут использовать методы облачной автоматизации для достижения своих целей по расширению операций криптоджекинга.

В ходе мониторинга криптоджекинг-пула, использовавшегося в операции EleKtra-Leak с 30 августа по 6 октября 2023 года, Unit 42 обнаружили 474 уникальных майнера, которые потенциально являлись инстансами Amazon EC2, контролируемыми акторами. Поскольку злоумышленники добывали Monero, тип криптовалюты, включающий средства контроля конфиденциальности, мы не можем отследить кошелек, чтобы получить точные данные о сумме, полученной злоумышленниками.

Судя по всему, угроза использовала автоматизированные инструменты для постоянного клонирования публичных репозиториев GitHub и сканирования на наличие открытых учетных данных Amazon Web Services (AWS) IAM. Угрожающая сторона также занесла в блок-лист учетные записи AWS, которые регулярно раскрывают учетные данные IAM, что является попыткой помешать исследователям безопасности следить за их действиями. Угрожающие субъекты могли воспринимать их как очевидные "медовые ловушки".

EleKtra-Leak Operation IOCs

Indicators of Compromise

Domain Port Combinations

SHA256