ช่องโหว่ต่อการโดนโจมตี จากการเข้ารหัสระยะไกล เช่น CVE-2021-22205
ผู้ไม่ประสงค์ดีชาวอินโดนีเซียใช้ประโยชน์จากอินสแตนซ์ Amazon Web Services (AWS) Elastic Compute Cloud (EC2) เพื่อใช้ในการขุด crypto แบบผิดกฎหมาย ซึ่ง Permiso P0 Labs ได้ตรวจพบอาชญากรไซเบอร์กลุ่มนี้
ครั้งแรกในเดือนพฤศจิกายน 2564 และได้ตั้งชื่อเล่นให้ว่า GUI-vil (อ่านว่า กู-อี-วิล)
การกระทำนี้ของ GUI-vil เป็นการเข้าถึงเบื้องต้นโดยการทำให้ AWS Keys เป็นที่เก็บ Source Code
ที่จะเปิดเผยต่อสาธารณะบน GitHub หรือการสแกนหาอินสแตนซ์ของ GitLab
ที่มีช่องโหว่ต่อการโดนโจมตี จากการเข้ารหัสระยะไกล เช่น CVE-2021-22205
โดยเมื่อเข้าถึงที่สำเร็จจะตามมาด้วยการยกระดับสิทธิ์ และการตรวจสอบ S3 buckets ที่มีอยู่ทั้งหมด
รวมถึงสามารถกำหนดบริการที่เข้าถึงได้ผ่านเว็บคอนโซล Aws ลักษณะในการดำเนินการของผู้ไม่ประสงค์ดี
คือการพยายามแฝงตัว และคงอยู่ในระบบของเหยื่อโดยการสร้างผู้ใช้ใหม่ที่มีการตั้งชื่อเดียวกัน
อีกทั้งยังถูกตรวจพบว่าได้ทำการสร้างโปรไฟล์การเข้าสู่ระบบสำหรับผู้ใช้ที่มีอยู่
เพื่อเปิดใช้งานการเข้าถึงคอนโซล AWS โดยไม่ติด Red Flags
คำเเนะนำ
1. ควรใช้รหัสผ่านแบบ Strong Password และการยืนยันตัวตนแบบ 2FA สำหรับบัญชี Crypto
2.ควรใช้การยืนยันเพื่อรักษาความปลอดภัยชั่วคราว แทนการใช้ AWS Keys แบบถาวร
3.ควรจัดการ AWS Keys การเข้าถึงของผู้ใช้ IAM อย่างถูกต้อง
4.ควรอัปเกรด GitLab ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
Ref. https://thehackernews.com/2023/05/indonesian-cybercriminals-exploit-aws.html