Cyberthreat.id - Pelaku ancaman asal Indonesia telah diamati memanfaatkan instans Amazon Web Services (AWS) Elastic Compute Cloud (EC2) untuk melakukan operasi penambangan kripto ilegal. Disebutkan, motivasi mereka melakukan kejahatan siber ini adalah finansial.

Lab Permiso P0 perusahaan keamanan cloud, yang pertama kali mendeteksi grup tersebut pada November 2021, telah menetapkannya sebagai GUI-vil moniker (diucapkan Goo-ee-vil).

"Grup tersebut menampilkan preferensi untuk alat Antarmuka Pengguna Grafis (GUI), khususnya Browser S3 (versi 9.5.5) untuk operasi awal mereka," kata perusahaan itu dalam laporan yang dibagikan kepada The Hacker News.

"Setelah mendapatkan akses Konsol AWS, mereka melakukan operasinya langsung melalui browser web."

The Hacker News melaporkan, rantai serangan yang dipasang oleh GUI-vil memerlukan akses awal dengan mempersenjatai kunci AWS di repositori kode sumber yang terbuka secara publik di GitHub atau memindai instans GitLab yang rentan terhadap kelemahan eksekusi kode jarak jauh (mis., CVE-2021-22205).

Dijelaskan, ingress yang berhasil diikuti dengan eskalasi hak istimewa dan pengintaian internal untuk meninjau semua bucket S3 yang tersedia dan menentukan layanan yang dapat diakses melalui konsol web AWS.

Aspek penting dari modus operandi pelaku ancaman, disebutkan adalah upayanya untuk berbaur dan bertahan dalam lingkungan korban dengan menciptakan pengguna baru yang sesuai dengan konvensi penamaan yang sama dan pada akhirnya memenuhi tujuannya.

"GUI-vil juga akan membuat kunci akses untuk identitas baru yang mereka buat sehingga mereka dapat melanjutkan penggunaan Browser S3 dengan pengguna baru ini," kata perusahaan.

Alternatifnya, grup tersebut juga terlihat membuat profil login untuk pengguna yang sudah ada yang tidak memilikinya sehingga memungkinkan akses ke konsol AWS tanpa mengibarkan bendera merah.

Tautan GUI-vil ke Indonesia berasal dari fakta bahwa alamat IP sumber yang terkait dengan aktivitas terkait dengan dua Nomor Sistem Otonom (ASN) yang terletak di negara Asia Tenggara.

“Misi utama grup, didorong secara finansial, adalah membuat instans EC2 untuk memfasilitasi aktivitas penambangan kripto mereka,” kata para peneliti.

"Dalam banyak kasus, keuntungan yang mereka peroleh dari penambangan kripto hanyalah sebagian kecil dari biaya yang harus dibayar oleh organisasi korban untuk menjalankan instans EC2."[]