Uma campanha em larga escala de mineração de criptomoedas está explorando credenciais comprometidas do Identity and Access Management (IAM) para abusar de recursos da Amazon Web Services (AWS). A atividade foi detectada inicialmente em 2 de novembro de 2025 pelos sistemas automatizados de segurança da própria Amazon, incluindo o GuardDuty, e chamou a atenção pelo emprego de técnicas inéditas de persistência, projetadas para dificultar ações de contenção e resposta a incidentes.
De acordo com a Amazon, os atacantes operam a partir de provedores de hospedagem externos e, após obterem acesso inicial por meio de credenciais IAM com privilégios administrativos ou equivalentes, realizam rapidamente o reconhecimento do ambiente. Em menos de dez minutos após a invasão, os recursos destinados à mineração de criptomoedas já estavam ativos, utilizando serviços como Amazon ECS, EC2 e Fargate.
O ataque segue uma cadeia estruturada em múltiplos estágios. Na fase inicial, os invasores utilizam credenciais IAM comprometidas para enumerar permissões e limites de serviço, testando a capacidade de criação de instâncias EC2 por meio da API RunInstances com o parâmetro DryRun habilitado. Esse método permite validar permissões sem iniciar instâncias de fato, evitando custos imediatos, reduzindo vestígios forenses e avaliando a viabilidade do ambiente para a mineração ilícita.
Na etapa seguinte, os hackers criam funções e permissões adicionais, usando chamadas como CreateServiceLinkedRole e CreateRole para configurar papéis de IAM associados a grupos de autoscaling e funções do AWS Lambda. Em seguida, políticas gerenciadas, como a AWSLambdaBasicExecutionRole, são vinculadas a essas funções, ampliando o controle sobre o ambiente comprometido.
A investigação conduzida pela Amazon identificou a criação de dezenas de clusters ECS por ataque — em alguns casos, mais de 50 em um único ambiente. Os invasores registraram definições de tarefas maliciosas que apontavam para uma imagem Docker hospedada no DockerHub, posteriormente removida, responsável por executar automaticamente um script de shell que iniciava a mineração de criptomoedas com o algoritmo RandomVIREL. Também foram criados grupos de autoscaling configurados para escalar de 20 até 999 instâncias, explorando agressivamente as cotas de serviço da AWS.
A campanha mira uma ampla variedade de instâncias EC2, incluindo modelos de alto desempenho com GPU, instâncias voltadas a machine learning, além de recursos de uso geral, computação e memória. A estratégia visa maximizar o consumo de recursos e, consequentemente, os ganhos financeiros com a mineração não autorizada.
Um dos pontos mais críticos do ataque é o uso da ação ModifyInstanceAttribute com o parâmetro disableApiTermination definido como True. Essa configuração impede que as instâncias sejam encerradas por meio do console, da linha de comando ou da API da AWS, obrigando as vítimas a reabilitar manualmente a opção de término antes de remover os recursos comprometidos. Segundo a Amazon, essa técnica compromete seriamente os processos de resposta a incidentes e a remediação automatizada, evidenciando um alto nível de conhecimento operacional sobre ambientes de nuvem.
Além disso, os atacantes criaram funções Lambda acessíveis por qualquer principal e um usuário IAM específico, ao qual foi atribuída a política AmazonSESFullAccess, concedendo controle total sobre o Amazon Simple Email Service (SES). Essa configuração sugere a possível intenção de usar a conta comprometida para envio de campanhas de phishing ou outras atividades maliciosas.
Como resposta, a Amazon reforçou recomendações de segurança, incluindo a aplicação rigorosa do princípio do menor privilégio, o uso de credenciais temporárias, autenticação multifator (MFA), monitoramento contínuo por meio do AWS CloudTrail, análise de imagens de contêineres e atenção a picos anômalos de CPU em definições de tarefas do ECS. A empresa conclui que a campanha representa uma evolução significativa nas técnicas de ataque voltadas à mineração de criptomoedas em ambientes de nuvem.
Fonte: The Hacker News
