CoinFubi

一场针对 AWS 客户的持续攻击活动已被观测到，攻击者利用被盗的 Identity and Access Management（IAM）凭证，具备类似管理员的权限，以启用加密货币挖矿。该活动于 2025 年 11 月 2 日首次被 Amazon GuardDuty 及其自动化安全监控系统发现。攻击者在外部托管提供商的环境中运作，快速枚举资源和权限，然后在 ECS 与 EC2 上部署矿业资源。在初次访问后不到 10 分钟，矿机就已投入运行。

多阶段的攻击链以未知对手为起点，利用被盗的具管理员权限的 IAM 用户凭证，启动发现阶段，旨在探查环境的 EC2 服务配额并通过将 RunInstances API 的 DryRun 标志设定来测试权限。启用 DryRun 标志至关重要且有意为之，因为它使攻击者在不实际启动实例的情况下验证 IAM 权限，从而避免产生成本并最小化取证轨迹。这一步的最终目标是确定目标基础设施是否适合部署矿工程序。当攻击者调用 CreateServiceLinkedRole 和 CreateRole，为自动扩缩组和 AWS Lambda 分别创建 IAM 角色后，感染进入下一阶段。创建角色后，将 AWSLambdaBasicExecutionRole 策略附加到 Lambda 角色。迄今为止观测到的活动显示，攻击者在整个环境中已创建数十个 ECS 集群，在某些情况下单次攻击中甚至超过 50 个 ECS 集群。“他们随后调用 RegisterTaskDefinition，为一个恶意的 DockerHub 镜像 yenik65958nullsecret:user”，Amazon 指出。“使用与集群创建相同的字符串，攻击者随后创建一个服务，利用该任务定义在 ECS Fargate 节点上启动加密货币挖矿。”

该 DockerHub 镜像此后已被下线，配置为一旦部署就执行一个 shell 脚本，使用 RandomVIREL 挖矿算法开启加密货币挖矿。此外，观察到攻击者创建了从 20 到 999 的实例规模的自动扩缩组，以利用 EC2 服务配额并最大化资源消耗。EC2 的活动目标覆盖高性能 GPU 实例和机器学习实例，以及计算、内存和通用实例。“使该活动脱颖而出的是其对 ModifyInstanceAttribute 操作的使用，其中 disableApiTermination 参数被设置为 True，阻止通过 Amazon EC2 控制台、命令行界面或 API 终止实例。”“实例终止保护可能削弱事件响应能力并干扰自动化修复控制，” Amazon 表示。“这一技术显示对常见安全响应流程的理解以及延长矿业运营持续时间的意图。” 这一 PoC 背景参考了先前的研究，显示此类控制可被滥用来接管实例并掌控账户。

攻击还包括一个 Lambda 函数，可被任何主体调用，以及一个 IAM 用户“user-x1x2x3x4”，其 AWS 管理策略“AmazonSESFullAccess”已附加，赋予攻击者对 Amazon Simple Email Service（SES）的完全访问权限，以可能进行网络钓鱼攻击。为防范威胁，AWS 呼吁客户执行强大的 IAM 控制，使用临时凭证替代长期密钥，为所有用户启用 MFA，遵循最小权限原则，增加容器安全控件以扫描可疑镜像，监控 ECS 任务定义中的异常 CPU 分配请求，并启用 CloudTrail 与 GuardDuty 以实现自动化响应工作流。