В новом отчете Amazon раскрыты детали продолжающейся кампании по добыче криптовалюты, нацеленной на клиентов Amazon Web Services (AWS). Атака начинается с использования скомпрометированных учетных данных Identity and Access Management (IAM), которые предоставляют права администратора. Первые признаки активности были зафиксированы 2 ноября 2025 года системами Amazon GuardDuty и автоматизированными средствами мониторинга безопасности. Особенностью данной операции является высокая скорость исполнения: криптомайнеры начинают работу в течение 10 минут после получения первоначального доступа злоумышленником, действующим через внешнего хостинг-провайдера.
После проникновения в систему атакующий переходит к этапу обнаружения и проверки, сканируя среду на предмет квот сервиса EC2. Для этого используется вызов RunInstances API с установленным флагом «DryRun». Этот метод позволяет проверить действительность разрешений IAM без фактического запуска инстансов, что помогает избежать финансовых затрат и минимизировать оставляемый цифровой след. Подтвердив доступ, хакер создает необходимые роли, вызывая CreateServiceLinkedRole для групп автомасштабирования и CreateRole для AWS Lambda, к которой прикрепляется политика «AWSLambdaBasicExecutionRole».
Масштаб развертывания ресурсов оказывается значительным: в ходе одной атаки наблюдалось создание более 50 кластеров ECS. Злоумышленники используют вызов RegisterTaskDefinition для регистрации вредоносного образа Docker с именем
Целью атаки является максимальное потребление ресурсов через эксплуатацию квот EC2. Для этого создаются группы автомасштабирования, настроенные на расширение от 20 до 999 инстансов. В качестве мишеней выбираются высокопроизводительные GPU-инстансы, инстансы для машинного обучения (ML), а также вычислительные ресурсы общего назначения и инстансы с большим объемом памяти.
Особое внимание в отчете уделяется уникальной технике обеспечения персистентности и уклонения от защиты. Хакеры используют действие ModifyInstanceAttribute, устанавливая параметр «disableApiTermination» в значение «True». Это действие предотвращает удаление инстансов через консоль Amazon EC2, интерфейс командной строки (CLI) или API. Такая стратегия затрудняет реагирование на инциденты, нарушает работу автоматизированных средств устранения угроз и вынуждает жертв вручную повторно включать возможность удаления через API, тем самым продлевая время работы майнеров.
Помимо майнинга, кампания несет в себе угрозу фишинговых атак. В качестве вторичного вектора атаки злоумышленники создают функцию Lambda, которую может вызвать любой принципал, и специального пользователя IAM с именем «user-x1x2x3x4». К этому пользователю прикрепляется управляемая политика AWS «AmazonSESFullAccess», предоставляющая полный доступ к Amazon Simple Email Service (SES). Это указывает на подготовку к запуску масштабных фишинговых рассылок с использованием легитимной инфраструктуры.
Риски, связанные с использованием ModifyInstanceAttribute, не являются новыми для сообщества информационной безопасности. Еще в апреле 2024 года исследователь Харша Коушик (Harsha Koushik) продемонстрировал Proof-of-Concept (PoC), показав, как это действие может быть использовано злоумышленниками. Его выводы подтверждали возможность захвата инстансов, кражи учетных данных ролей инстансов и получения контроля над всей учетной записью AWS, что теперь находит подтверждение в реальных атаках.
Изображение носит иллюстративный характер
После проникновения в систему атакующий переходит к этапу обнаружения и проверки, сканируя среду на предмет квот сервиса EC2. Для этого используется вызов RunInstances API с установленным флагом «DryRun». Этот метод позволяет проверить действительность разрешений IAM без фактического запуска инстансов, что помогает избежать финансовых затрат и минимизировать оставляемый цифровой след. Подтвердив доступ, хакер создает необходимые роли, вызывая CreateServiceLinkedRole для групп автомасштабирования и CreateRole для AWS Lambda, к которой прикрепляется политика «AWSLambdaBasicExecutionRole».
Масштаб развертывания ресурсов оказывается значительным: в ходе одной атаки наблюдалось создание более 50 кластеров ECS. Злоумышленники используют вызов RegisterTaskDefinition для регистрации вредоносного образа Docker с именем
yenik65958/secret:user, который ранее размещался на DockerHub, но уже удален. Этот образ запускает shell-скрипт сразу после развертывания. Созданная служба использует определение задачи для инициации майнинга на узлах ECS Fargate, используя алгоритм RandomVIREL. Целью атаки является максимальное потребление ресурсов через эксплуатацию квот EC2. Для этого создаются группы автомасштабирования, настроенные на расширение от 20 до 999 инстансов. В качестве мишеней выбираются высокопроизводительные GPU-инстансы, инстансы для машинного обучения (ML), а также вычислительные ресурсы общего назначения и инстансы с большим объемом памяти.
Особое внимание в отчете уделяется уникальной технике обеспечения персистентности и уклонения от защиты. Хакеры используют действие ModifyInstanceAttribute, устанавливая параметр «disableApiTermination» в значение «True». Это действие предотвращает удаление инстансов через консоль Amazon EC2, интерфейс командной строки (CLI) или API. Такая стратегия затрудняет реагирование на инциденты, нарушает работу автоматизированных средств устранения угроз и вынуждает жертв вручную повторно включать возможность удаления через API, тем самым продлевая время работы майнеров.
Помимо майнинга, кампания несет в себе угрозу фишинговых атак. В качестве вторичного вектора атаки злоумышленники создают функцию Lambda, которую может вызвать любой принципал, и специального пользователя IAM с именем «user-x1x2x3x4». К этому пользователю прикрепляется управляемая политика AWS «AmazonSESFullAccess», предоставляющая полный доступ к Amazon Simple Email Service (SES). Это указывает на подготовку к запуску масштабных фишинговых рассылок с использованием легитимной инфраструктуры.
Риски, связанные с использованием ModifyInstanceAttribute, не являются новыми для сообщества информационной безопасности. Еще в апреле 2024 года исследователь Харша Коушик (Harsha Koushik) продемонстрировал Proof-of-Concept (PoC), показав, как это действие может быть использовано злоумышленниками. Его выводы подтверждали возможность захвата инстансов, кражи учетных данных ролей инстансов и получения контроля над всей учетной записью AWS, что теперь находит подтверждение в реальных атаках.
