Tim keamanan AWS GuardDuty milik Amazon mengungkap adanya kampanye penambangan kripto yang masih berlangsung dan menargetkan layanan Elastic Compute Cloud (EC2) serta Elastic Container Service (ECS). Serangan ini memanfaatkan kredensial Identity and Access Management (IAM) milik pelanggan yang telah dikompromikan, tanpa mengeksploitasi celah keamanan pada infrastruktur AWS itu sendiri.
Menurut laporan Amazon, operasi berbahaya ini mulai terdeteksi sejak 2 November dan menggunakan mekanisme persistensi khusus untuk memperpanjang aktivitas penambangan kripto sekaligus mempersulit proses penanganan insiden. Pelaku ancaman diketahui menggunakan sebuah image Docker Hub yang dibuat pada akhir Oktober dan telah diunduh lebih dari 100.000 kali.
Layanan EC2 memungkinkan pengguna menjalankan mesin virtual di lingkungan AWS, sementara ECS digunakan untuk menjalankan aplikasi berbasis kontainer seperti Docker. Dengan menanamkan crypto-miner pada layanan tersebut, pelaku dapat memperoleh keuntungan finansial dengan mengorbankan sumber daya komputasi pelanggan AWS dan Amazon, yang harus menanggung beban konsumsi sumber daya berlebih.
Amazon menegaskan bahwa serangan ini tidak memanfaatkan kerentanan sistem, melainkan sepenuhnya mengandalkan kredensial IAM yang sah namun telah jatuh ke tangan pihak tidak berwenang.
Dalam laporan yang dirilis, AWS menjelaskan bahwa pelaku memulai aktivitas penambangan kripto dalam waktu kurang dari 10 menit setelah mendapatkan akses awal. Sebelumnya, penyerang melakukan pengintaian terhadap kuota layanan EC2 serta izin IAM yang tersedia di akun korban.
Untuk menjalankan operasi di ECS, pelaku mendaftarkan task definition yang mengarah ke image Docker Hub bernama yenik65958/secret, dibuat pada 29 Oktober. Image tersebut berisi cryptominer SBRMiner-MULTI beserta skrip otomatis yang langsung menjalankan penambangan saat kontainer aktif. Setiap tugas dikonfigurasi dengan 16.384 unit CPU dan memori sebesar 32 GB, dengan jumlah tugas ECS Fargate ditetapkan hingga 10 instance sekaligus.
Di sisi EC2, penyerang membuat dua launch template dengan skrip awal yang secara otomatis memulai proses penambangan kripto. Selain itu, mereka juga mengonfigurasi 14 auto-scaling group yang masing-masing dapat meluncurkan sedikitnya 20 instance, dengan kapasitas maksimum mencapai 999 mesin.
Amazon juga menyoroti metode persistensi yang tidak biasa dalam kampanye ini. Setelah instance berjalan, pelaku mengaktifkan pengaturan yang mencegah administrator menghentikan mesin secara jarak jauh melalui API. Dengan demikian, tim respons insiden harus terlebih dahulu menonaktifkan perlindungan tersebut sebelum dapat mematikan instance, yang berpotensi memperlambat mitigasi dan memperpanjang durasi penambangan.
Teknik ini dilakukan dengan memanfaatkan fungsi ModifyInstanceAttribute pada seluruh instance EC2 yang diluncurkan. Meski fitur perlindungan terminasi dirancang untuk mencegah penghentian tidak sengaja, dalam konteks ini justru menghambat proses pemulihan otomatis dan respons keamanan.
Setelah mengidentifikasi kampanye tersebut, Amazon segera memberi tahu pelanggan yang terdampak mengenai aktivitas penambangan kripto dan pentingnya melakukan rotasi kredensial IAM yang telah dikompromikan. Pihak Amazon menyatakan bahwa AWS secara proaktif mendeteksi ancaman ini dan segera memperingatkan pelanggan terkait.
Image Docker Hub berbahaya yang digunakan dalam serangan ini telah dihapus dari platform. Namun, Amazon mengingatkan bahwa pelaku ancaman masih berpotensi menyebarkan image serupa dengan nama dan akun penerbit yang berbeda, sehingga kewaspadaan dan pengamanan