攻击流程完全透过自动化进行
而对于整个攻击行动的流程,研究人员指出都是透过自动化执行,一旦攻击者从GitHub储存库发现金钥,就会开始一系列的攻击流程。对方会先进行一系列的AWS帐号侦察,完成后就会建立安全群组,找寻所有能够存取的EC2执行个体,过程中骇客的攻击流程,都是透过VPN于背景进行。
为了提高挖矿的获利,攻击者会在这些EC2执行个体采用大型云端虚拟机器,通常是拥有192个虚拟处理器、192 GB记忆体的虚拟机器c5a.24xlarge,以便在相同时间里挖取更多加密货币。
骇客在启动这些EC2执行个体的过程中,呼叫了名为RunInstance的API,用来执行Cloud-Init指令码,从而在这些执行个体进行参数配置,并执行后续的攻击行动。值得留意的是,对方的相关操作并未在CloudTrail留下事件记录。
对此,研究人员对EC2执行个体进一步采证,发现骇客从Google Drive下载挖矿软体的档案,然后在储存到执行个体后再行解密、执行。此外,对方所使用的AMI映像档为私有档案,并未在AWS Marketplace市集上架,其中部分映像档是采用Ubuntu 18为基础开发。研究人员根据找到的入侵指标(IoC),他们推测,攻击行动很有可能从2020年开始。