Se ha observado una campaña en curso dirigida a clientes de Amazon Web Services (AWS) que utilizan credenciales de gestión de identidad y acceso (IAM) comprometidas para permitir la minería de criptomonedas.
La actividad fue detectada por primera vez por el servicio administrado de detección de amenazas GuardDuty de Amazon y sus sistemas automatizados de monitoreo de seguridad el 2 de noviembre de 2025, y emplea técnicas de persistencia nunca antes vistas para interrumpir la respuesta a incidentes y continuar sin obstáculos, según un nuevo informe compartido por el gigante tecnológico antes de su publicación.
«El atacante, que operaba desde un proveedor de alojamiento externo, enumeró rápidamente los recursos y permisos antes de implementar recursos de minería de criptomonedas en ECS y EC2», dijo Amazon. «El minero de criptomonedas estaba en funcionamiento a los 10 minutos de que el actor de la amenaza obtuviera el acceso inicial».
La cadena de ataque de varias etapas esencialmente comienza con un atacante desconocido que aprovecha las credenciales de usuario de IAM comprometidas con privilegios similares a los de administrador para comenzar una fase de descubrimiento diseñada para sondear el entorno de cuota de servicio EC2 y probar los privilegios llamando a la API RunInstances con el indicador «DryRun» configurado.
Habilitar este indicador «DryRun» es importante e intencional, ya que permite a un atacante verificar los permisos de IAM sin tener que iniciar una instancia. Esto evita mayores costos y minimiza la huella forense. El objetivo final de este paso es determinar si la infraestructura de destino es adecuada para implementar el programa minero.
La infección avanza a la siguiente etapa, donde el actor de amenazas llama a CreateServiceLinkedRole y CreateRole para crear un grupo de escalado automático y una función de IAM para AWS Lambda, respectivamente. Cuando se crea el rol, la política «AWSLambdaBasicExecutionRole» se adjunta al rol de Lambda.
En la actividad observada hasta la fecha, se dice que los actores de amenazas han creado docenas de clústeres de ECS en todos los entornos y, en algunos casos, más de 50 clústeres de ECS en un solo ataque.
«Luego utilizaron la imagen maliciosa de DockerHub yenik65958/secret:user para llamar a RegisterTaskDefinition», dijo Amazon. «Utilizando las mismas cadenas utilizadas para crear el clúster, el atacante utilizó la definición de tarea para crear un servicio y comenzar la minería criptográfica en los nodos ECS Fargate».
La imagen de DockerHub, que desde entonces se eliminó, se configuró para ejecutar un script de shell y comenzar a extraer criptomonedas utilizando el algoritmo de minería RandomVIREL tan pronto como se implementó. Además, se ha observado que los actores de amenazas crean grupos de escalamiento automático configurados para escalar de 20 a 999 instancias para explotar las cuotas de servicios de EC2 y maximizar el consumo de recursos.
Las actividades de EC2 se dirigen tanto a instancias de aprendizaje automático y GPU de alto rendimiento como a instancias de computación, memoria y de propósito general.
Lo que hace que esta campaña se destaque es el uso de la acción ModifyInstanceAttribute con el parámetro ‘disableApiTermination’ establecido en ‘True’. Esto le impide finalizar su instancia mediante la consola, la interfaz de línea de comandos o la API de Amazon EC2. Esto requerirá que las víctimas vuelvan a habilitar la terminación de API antes de eliminar el recurso afectado.
«La protección de terminación de instancias puede afectar las capacidades de respuesta a incidentes e interrumpir los controles de remediación automatizados», dijo Amazon. «Esta metodología demuestra una comprensión de los procedimientos comunes de respuesta de seguridad y la intención de maximizar la duración de las operaciones mineras».
Esta no es la primera vez que se revelan riesgos de seguridad asociados con ModifyInstanceAttribute. En abril de 2024, el investigador de seguridad Harsha Koushik demostró una prueba de concepto (PoC) que detalla cómo se podría aprovechar esta acción para hacerse cargo de una instancia, robar credenciales de rol de instancia e incluso tomar el control de una cuenta completa de AWS.
Además, este ataque implica la creación de una función Lambda que puede ser invocada por cualquier usuario principal y de IAM «user-x1x2x3x4» con la política administrada de AWS «AmazonSESFullAccess» adjunta, lo que permite al atacante acceso completo a través de Amazon Simple Email Service (SES) para potencialmente realizar ataques de phishing.
Para protegerse de esta amenaza, Amazon recomienda que los clientes de AWS sigan estos pasos:
Aplique controles sólidos de administración de acceso e identidad Implemente credenciales temporales en lugar de claves de acceso a largo plazo Utilice autenticación multifactor (MFA) para todos los usuarios Restrinja el acceso aplicando el principio de privilegio mínimo (PoLP) en los principales de IAM Agregue controles de seguridad para contenedores para escanear en busca de imágenes sospechosas Supervise solicitudes inusuales de asignación de CPU en las definiciones de tareas de ECS Registre eventos en los servicios de AWS mediante AWS CloudTrail Verifique que GuardDuty esté habilitado para facilitar los flujos de trabajo de respuesta automatizados
«El uso de múltiples servicios informáticos programados por parte de los actores de amenazas, combinados con nuevas técnicas de persistencia, representa un avance significativo en las técnicas de ataque de minería de criptomonedas».
Source link
