Amazon 近日揭露一起針對 AWS 客戶的大規模攻擊行動。
駭客透過竊取的身分識別與存取管理(IAM)憑證,在受害者的雲端環境中部署加密貨幣挖礦程式。Amazon 的 GuardDuty 威脅偵測服務於 2025 年 11 月 2 日首次發現此攻擊活動。
攻擊者使用前所未見的持續性技術,企圖阻礙事件回應並持續進行挖礦作業。Amazon 指出,駭客從外部主機供應商發動攻擊,快速列舉資源與權限後,在 ECS 和 EC2 服務上部署加密貨幣挖礦資源。從取得初始存取權限到挖礦程式開始運作,整個過程僅需 10 分鐘。
多階段攻擊流程與技術細節
攻擊從駭客利用具有管理員權限的 IAM 使用者憑證開始。駭客進入探查階段,檢視 EC2 服務配額,並呼叫 RunInstances API,將「DryRun」旗標設為啟用。這個旗標讓攻擊者能驗證 IAM 權限,而不實際啟動執行個體,既避免產生費用,也將數位鑑識軌跡降到最低。此步驟的目的是判斷目標基礎設施是否適合部署挖礦程式。
接著,攻擊者會呼叫 CreateServiceLinkedRole 和 CreateRole,分別為自動擴展群組(autoscaling groups)與 AWS Lambda 建立 IAM 角色。角色建立完成後,系統會將 AWSLambdaBasicExecutionRole 政策附加到 Lambda 角色上。
根據目前觀察到的活動,駭客在環境中建立數十個 ECS 叢集,某些案例甚至在單次攻擊中建立超過 50 個叢集。接著,駭客呼叫 RegisterTaskDefinition,使用惡意的 DockerHub 映像檔 yenik65958/secret:user (該映像檔已被下架)。
部署後會立即執行 shell 指令碼,使用 RandomVIREL 挖礦演算法啟動加密貨幣挖礦作業。此外,攻擊者建立自動擴展群組,設定從 20 個擴展到 999 個執行個體,藉此濫用 EC2 服務配額並最大化資源消耗。
EC2 活動鎖定高效能 GPU 與機器學習執行個體,以及運算、記憶體和一般用途執行個體。
創新的持續性技術成為最大威脅
這次攻擊最突出的特點是使用 ModifyInstanceAttribute 動作,並將 disableApiTermination 參數設為 True。此設定會阻止執行個體透過 Amazon EC2 主控台、命令列介面或 API 終止。受害者必須先重新啟用 API 終止功能,才能刪除受影響的資源。
Amazon 表示,執行個體終止保護機制可能削弱事件回應能力,並中斷自動化修復控制措施。這項技術顯示攻擊者深入了解常見資安回應程序,且意圖最大化挖礦作業時間。
這並非 ModifyInstanceAttribute 相關資安風險首次曝光。2024 年 4 月,資安研究員 Harsha Koushik 曾展示概念驗證(PoC),說明該動作如何被濫用來接管執行個體、竊取執行個體角色憑證,甚至掌控整個 AWS 帳戶。
攻擊活動還包括建立可由任何主體叫用的 Lambda 函式,並使用 IAM 使用者「user-x1x2x3x4」設定持續性機制。該使用者被附加了 AWS 管理政策「AmazonSESFullAccess」,讓攻擊者能完全存取 Amazon Simple Email Service (SES),可能用於發動網路釣魚攻擊。
防護建議
為防範此類威脅,Amazon 建議 AWS 客戶採取以下措施:
- 強化身分識別與存取管理控制
- 使用暫時性憑證取代長期存取金鑰
- 為所有使用者啟用多重要素驗證(MFA)
- 對 IAM 主體套用最小權限原則(PoLP)以限制存取
- 加入容器資安控制措施以掃描可疑映像檔
- 監控 ECS 任務定義中的異常 CPU 配置請求
- 使用 AWS CloudTrail 記錄跨 AWS 服務的事件
- 確保 AWS GuardDuty 已啟用,以促進自動化回應工作流程
Amazon 總結指出,駭客以腳本自動化方式使用多個運算服務,並結合新型持續性技術,標誌著加密貨幣挖礦攻擊手法的重大演進。
本文轉載自 TheHackerNews。