Credenziali IAM Compromesse, Campagna di Mining Criptografico su AWS

È stata osservata una campagna in corso che prende di mira i clienti di Amazon Web Services (AWS) utilizzando credenziali di Identity e Access Management (IAM) compromesse per abilitare la minazione di criptovalute. L’attività, rilevata per la prima volta dal servizio di rilevamento delle minacce gestito di Amazon, GuardDuty, e dai sistemi di monitoraggio della sicurezza automatizzati il 2 novembre 2025, impiega tecniche di persistenza mai viste prima per ostacolare la risposta agli incidenti e continuare senza ostacoli, secondo un nuovo rapporto condiviso dal gigante tecnologico.

Il threat actor opera da un provider di hosting esterno e, in pochi minuti, enumera le risorse e le autorizzazioni antes di distribuire le risorse di minazione sui servizi ECS e EC2 di Amazon. In oltre 10 minuti dall’accesso iniziale del threat actor, i miner di criptovalute sono già operativi. La catena di attacco a più fasi inizia con l’attore minaccioso che sfrutta le credenziali di accesso IAM compromesse con autorizzazioni amministrative per avviare una fase di scoperta progettata per testare le autorizzazioni e le quote del servizio EC2.

Per proteggersi da questa minaccia, Amazon sta sollecitando i clienti AWS a seguire i seguenti passaggi: implementare controlli di gestione delle identità e degli accessi robusti, utilizzare credenziali temporanee invece di chiavi di accesso a lungo termine, applicare l’autenticazione a più fattori (MFA) per tutti gli utenti, applicare il principio del minimo privilegio (PoLP) ai principi IAM per limitare l’accesso, aggiungere controlli di sicurezza per i contenitori per scansionare le immagini sospette, monitorare le richieste di allocazione CPU insolite nelle definizioni dei task ECS, utilizzare AWS CloudTrail per registrare gli eventi in tutti i servizi AWS ed assicurarsi che AWS GuardDuty sia abilitato per facilitare i flussi di lavoro di risposta automatizzati.