อาชญากรทางไซเบอร์ที่มีแรงจูงใจด้านการเงินจากอินโดนีเซียใช้บริการ Elastic Compute Cloud (EC2) บน Amazon Web Services (AWS) เพื่อดำเนินการขุดเหรียญ Cryptocurrency
บริษัทด้านความปลอดภัยในระบบคลาวด์ "Permiso P0 Labs" ตรวจพบกลุ่มดังกล่าวเป็นครั้งแรกในช่วงเดือนพฤศจิกายน 2021 ที่ผ่านมา และได้ตั้งชื่อกลุ่มดังกล่าวว่า 'GUI-vil'
บริษัทระบุในรายงานว่า ในเบื้องต้นกลุ่มดังกล่าวจะใช้เครื่องมือ Graphical User Interface (GUI) โดยเฉพาะ S3 Browser (เวอร์ชัน 9.5.5) ในการปฏิบัติการโดยตรงผ่านทางเบราว์เซอร์
การโจมตีของ GUI-vil เริ่มต้นโดยการนำ AWS keys ที่รั่วไหลจาก GitHub Repository หรือจากการสแกนหา GitLab instances ที่มีช่องโหว่ remote code execution เช่น ช่องโหว่ CVE-2021-22205 มาใช้เพื่อเข้าถึงระบบของเหยื่อ หลังจากที่เข้าถึงได้สำเร็จ ผู้โจมตีจะทำการเพิ่มสิทธิ์ และตรวจสอบข้อมูลของ S3 buckets ทั้งหมดที่มีอยู่ และใช้บริการที่สามารถเข้าถึงได้ผ่าน AWS web console
วิธีการที่น่าสนใจในการดำเนินการของกลุ่มดังกล่าว คือการพยายามที่จะแฝงตัวอยู่บนระบบโดยการแอบสร้างบัญชีผู้ใช้ใหม่ ที่ดูสอดคล้องกับชื่อของระบบ
โดยนักวิจัยจาก P0 Labs ระบุว่า "GUI-vil จะสร้าง access keys สำหรับบัญชีใหม่ที่ถูกสร้างขึ้น เพื่อให้สามารถใช้งาน S3 Browser กับบัญชีที่สร้างขึ้นต่อไปได้"
อีกหนึ่งวิธีที่กลุ่มนี้ใช้ คือ การสร้างโปรไฟล์เข้าสู่ระบบสำหรับชื่อผู้ใช้ที่มีอยู่ แต่ยังไม่มีโปรไฟล์ เพื่อเปิดใช้งาน AWS console โดยไม่ทำให้เกิดการแจ้งเตือนในระบบ
การเชื่อมโยงระหว่าง GUI-vil และประเทศอินโดนีเซียมาจากที่อยู่ IP ต้นทาง ที่เกี่ยวข้องกับ Autonomous System Numbers (ASNs) สองหมายเลขที่ตั้งอยู่ในเอเชียตะวันออกเฉียงใต้
เป้าหมายหลักของกลุ่มดังกล่าว คือการสร้าง EC2 instances เพื่อขุดเหรียญ Cryptocurrency โดยผลกำไรที่กลุ่มนี้ได้จากการขุดเหรียญ Cryptocurrency เป็นเพียงจำนวนเงินที่น้อยมาก เมื่อเทียบกับค่าใช้จ่ายที่องค์กรของเหยื่อต้องจ่ายสำหรับการเรียกใช้ EC2 instances ดังกล่าว
ที่มา : thehackernews