Palo Alto NetworksのUnit 42による新たな調査で、脅威アクターがGitHubリポジトリでAmazon IAM認証情報をリアルタイムで探し出し、5分以内にそれらを使い始めるアクティブな攻撃キャンペーンが明らかになりました。最終的なペイロードは、Amazonインスタンスに展開された仮想マシン上で、カスタマイズされたMonero暗号通貨マイニングソフトウェアを実行します。
ジャンプ先:
- GitHub で公開された IAM 認証情報
- この攻撃キャンペーンに関する技術的な詳細
- この攻撃キャンペーンの目的:暗号通貨マイニング
- GitHubの秘密検出の自動化対策
- このサイバーセキュリティリスクを軽減する方法
GitHub で公開された IAM 認証情報
GitHubは、プラットフォーム内でコードを操作するための多くの機能をユーザーに提供しています。その一つに、リクエストしたユーザーに対してすべての公開リポジトリのリストを提供する機能があります。これにより、開発者は関心のある様々な開発状況を簡単に追跡できます。追跡はリアルタイムで行われ、脅威アクターを含む誰もが、新しいリポジトリがGitHubにプッシュされるとすぐに確認できます。
参照: 2023 年のベスト 8 つの ID およびアクセス管理 (IAM) ソリューション(TechRepublic)
Palo Alto Networks の Unit 42 研究者は、GitHub のパブリック リポジトリ内で Amazon Web Services Identity and Access Management の認証情報が見つかる可能性があり、サイバー犯罪者がこれらの認証情報を積極的に探していると報告しています。
リスクをより深く分析するため、研究者たちはIAM認証情報をGitHubに保存し、その周辺のすべてのアクティビティを確認することにしました。このハニーポットテストの結果、Base64でエンコードされGitHubに保存されていた漏洩したAWSキーは、脅威アクターによって発見・利用されておらず、ランダムファイル内の過去のコミットに隠された平文のAWSキーのみを取得していたことが明らかになりました。
このハニーポットにより、研究者のウィリアム・ガマゾ氏とナサニエル・クイスト氏は、資格情報が GitHub に置かれてから 5 分以内に特定の攻撃キャンペーンが開始されたことを検出することができました。
この攻撃キャンペーンに関する技術的な詳細
Unit 42によると、このキャンペーンはギリシャ神話の雲の精エレクトラと、脅威の攻撃者が使用するパスワードの最初の3文字として「Lek」を使用していることにちなんで研究者によって「EleKtra-Leak」と名付けられており、少なくとも2020年12月から活動しているという。
IAM 認証情報が見つかると、攻撃者は一連の偵察アクションを実行して、アクセス先の AWS アカウントについてさらに詳しく調べます (図 A )。
図A
これらのアクションが完了したら、脅威の攻撃者は、アクセス可能な AWS リージョン全体でリージョンごとに複数の Amazon Elastic Compute Cloud インスタンスを起動する前に、新しい AWS セキュリティグループを作成します。
Gamazo 氏と Quist 氏は、7 分以内に 400 件を超える API 呼び出しを観察できました。これらはすべて VPN 接続経由で実行されており、攻撃者がこれらの AWS アカウント環境に対する攻撃を自動化していることが示されています。
脅威アクターは、攻撃者が仮想通貨マイニングを実行する際に求める高い処理能力を持つ大規模クラウド仮想マシンを標的としました。また、脅威アクターはAmazon Machine Imageとしてプライベートイメージを選択しました。これらのイメージの中には古いLinux Ubuntuディストリビューションが含まれていたため、研究者は、この攻撃は少なくとも2020年まで遡ると考えています。
脅威アクターは、この種の行動が脅威研究者やハニーポットシステムから発生する可能性があるため、IAM 認証情報を定期的に公開する AWS アカウントもブロックしているようです。
この攻撃キャンペーンの目的:暗号通貨マイニング
すべての偵察が完了し、仮想マシンが起動すると、Googleドライブからダウンロードされたペイロードが配信されます。ペイロードはGoogleストレージ上で暗号化され、ダウンロード時に復号されます。
Unit 42によると、このペイロードは2021年に使用されたとみられる既知の暗号通貨マイニングツールであり、自律型セキュリティオペレーションシステム(OS)プラットフォームを専門とするIntezer社によって報告されたとのことです。報告された攻撃キャンペーンにおいて、Intezer社は、脅威アクターがインターネット上に公開されているDockerインスタンスにアクセスし、暗号通貨Moneroをマイニングするための暗号通貨マイニングソフトウェアをインストールしたと示唆しています。このカスタマイズされた暗号通貨マイニングソフトウェアは、Palo Alto Networks社が新たに公開したキャンペーンで使用されているものと同一です。
このソフトウェアは、SupportXMRマイニングプールを使用するように設定されています。マイニングプールを利用することで、複数のユーザーが同じワークスペースにコンピューティング時間を追加し、より多くの暗号通貨を獲得できる可能性が高まります。Palo Alto Networksによると、SupportXMRサービスは期間限定の統計情報しか提供しないため、研究者はAWSマイニングオペレーションに同じウォレットが使用されていたため、数週間にわたってマイニング統計を取得しました(図B)。
図B
2023年8月30日から10月6日の間に、合計474のユニークなマイナーが出現しました。それぞれがAmazon EC2インスタンスです。Moneroにはこの種のデータの追跡を制限するプライバシーコントロールが含まれているため、脅威アクターが得た金銭的利益を推定することはまだ不可能です。
GitHubの秘密検出の自動化対策
GitHub は、プラットフォームに保存されているファイル内の秘密を自動的にスキャンし、GitHub で漏洩した秘密についてサービス プロバイダーに通知します。
調査中、Gamazo 氏と Quist 氏は、研究用のハニーポットデータとして GitHub に意図的に保存していた秘密が GitHub によって検出され、Amazon に報告されたことに気づきました。Amazon は、数分以内に自動的に隔離ポリシーを適用し、攻撃者が AWS IAM、EC2、S3、Lambda、Lightsail にアクセスするなどの操作を実行できないようにしました。
調査プロセス中、Unit 42 は隔離ポリシーをそのままにして、攻撃者のアカウントのテストを受動的に調査していましたが、その後、攻撃チェーン全体を調査するためにポリシーは削除されました。
研究者らは、「脅威アクターは、自動検出されない公開されたAWSキーを見つけることができる可能性がある」と述べており、証拠によれば、攻撃者はポリシーの介入なしに攻撃を実行できたため、実際にそうした可能性が高いとしています。また、「GitHubとAWSが連携してAWSキーの漏洩時に一定レベルの保護を実施しているとしても、すべてのケースがカバーされるわけではない」と述べ、この脅威アクターの他の潜在的な被害者は、異なる方法で標的にされていた可能性があると指摘しています。
このサイバーセキュリティリスクを軽減する方法
IAM認証情報は、GitHubやその他のオンラインサービスやストレージに決して保存しないでください。漏洩したIAM認証情報はリポジトリから削除し、漏洩した認証情報に代わる新しいIAM認証情報を生成する必要があります。
企業は、実稼働環境内で動的な機能を実行するために、有効期間が短い資格情報を使用する必要があります。
セキュリティチームは、組織で使用されているGitHubリポジトリを監視する必要があります。脅威アクターはリポジトリのコンテンツを閲覧するために、まずリポジトリをクローンする必要があるため、これらのリポジトリで発生するクローンイベントを監査する必要があります。この機能は、すべてのGitHub Enterpriseアカウントでご利用いただけます。
リポジトリ上のシークレットに対するカスタム専用スキャンも継続的に実行する必要があります。Trufflehogなどのツールが役立つかもしれません。
組織のリポジトリを公開する必要がない場合は、プライベートGitHubリポジトリを使用し、組織の担当者のみがアクセスできるようにする必要があります。プライベートGitHubリポジトリへのアクセスは、漏洩したログイン認証情報で攻撃者がアクセスするのを防ぐため、多要素認証によって保護する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
