Специалисты по кибербезопасности Amazon GuardDuty обнаружили кампанию по скрытой добыче криптовалют, нацеленную на сервисы по запуску виртуальных машин и контейнеров с приложениями Elastic Compute Cloud (EC2) и Elastic Container Service (ECS).
Размещая криптомайнеры на мощностях, злоумышленники получают финансовую выгоду за счет клиентов AWS и самой Amazon, которые несут расходы на вычислительные ресурсы.
Для атаки использовался образ из созданного в конце октября Docker Hub, который на момент обнаружения имел более 100 000 скачиваний. В Amazon подчеркнули, что атакующие не взламывали непосредственно ПО, а заходили в аккаунты клиентов по украденным учетным данным.
Согласно отчету, особенностью этой кампании стало использование настройки, которая запрещает администраторам удаленно выключать машины. Это заставляло специалистов по безопасности сначала вручную отключать защиту и только потом останавливать майнинг.
Amazon предупредила пострадавших клиентов о необходимости сменить скомпрометированные учетные данные. Вредоносный образ удален из Docker Hub, однако специалисты предупредили о возможной повторной загрузке ПО под другими аккаунтами или именами.
