名為“EC2 Grouper”的黑客組織，近年來(lái)一直在利用AWS工具以及泄露的憑證對(duì)云環(huán)境展開(kāi)狩獵型攻擊。在過(guò)去的數(shù)年里，這個(gè)相當(dāng)活躍的威脅行為主體在數(shù)十個(gè)客戶(hù)環(huán)境中被發(fā)現(xiàn)，這使其成為網(wǎng)絡(luò)安全專(zhuān)家追蹤的最活躍的組織之一。

Fortinet的研究人員發(fā)現(xiàn)，“EC2 Grouper”有一個(gè)顯著特點(diǎn)，那就是始終使用AWS工具，尤其偏愛(ài)利用PowerShell來(lái)實(shí)施攻擊。該組織會(huì)采用獨(dú)特的用戶(hù)代理字符串和安全組命名規(guī)范，通常會(huì)創(chuàng)建多個(gè)名稱(chēng)類(lèi)似“ec2group”、“ec2group1”一直到“ec2group12345”的安全組。

攻擊者主要是從與有效賬戶(hù)相關(guān)的代碼庫(kù)中竊取憑證。一旦獲取這些憑證后，他們就會(huì)借助API進(jìn)行偵察、創(chuàng)建安全組以及配置資源。攻擊策略包括調(diào)用DescribeInstanceTypes來(lái)盤(pán)點(diǎn)EC2類(lèi)型，還會(huì)調(diào)用DescribeRegions來(lái)收集有關(guān)可用區(qū)域的信息。

有趣的是，研究人員并未觀察到他們調(diào)用AuthorizeSecurityGroupIngress，而這一操作通常是配置對(duì)使用安全組啟動(dòng)的EC2實(shí)例的入站訪(fǎng)問(wèn)所必需的。不過(guò)，研究人員注意到了他們調(diào)用CreateInternetGateway和CreateVpc的情況，這些操作是實(shí)現(xiàn)遠(yuǎn)程訪(fǎng)問(wèn)所必需的。

雖然該組織的最終目標(biāo)還沒(méi)有被確定，但是專(zhuān)家認(rèn)為資源劫持可能是他們的主要目的。

報(bào)告指出，在受感染的云環(huán)境中并沒(méi)有發(fā)現(xiàn)基于特定目標(biāo)的手動(dòng)操作或者行動(dòng)。檢測(cè)“EC2 Grouper”的活動(dòng)對(duì)安全團(tuán)隊(duì)來(lái)說(shuō)是一項(xiàng)重大挑戰(zhàn)。由于像用戶(hù)代理和組名稱(chēng)這類(lèi)傳統(tǒng)指標(biāo)具有短暫性，所以已被證實(shí)對(duì)于全面的威脅檢測(cè)并不可靠。

相反，專(zhuān)家建議采用更為細(xì)致的方法，將多個(gè)弱信號(hào)關(guān)聯(lián)起來(lái)，從而準(zhǔn)確識(shí)別惡意行為。建議組織實(shí)施多種安全措施，以降低與“EC2 Grouper”以及類(lèi)似威脅相關(guān)的風(fēng)險(xiǎn)。這些措施包括利用云安全態(tài)勢(shì)管理（CSPM）工具持續(xù)監(jiān)控和評(píng)估云環(huán)境安全狀況，實(shí)施異常檢測(cè)技術(shù)來(lái)識(shí)別異常行為，并且對(duì)分配給用戶(hù)和實(shí)例的所有角色遵循最小權(quán)限原則。

隨著云環(huán)境依舊是復(fù)雜威脅行為主體的主要攻擊目標(biāo)，“EC2 Grouper”這類(lèi)組織的被發(fā)現(xiàn)和分析凸顯了高級(jí)檢測(cè)機(jī)制和強(qiáng)大安全實(shí)踐在保護(hù)數(shù)字資產(chǎn)和敏感信息方面的重要性。

參考來(lái)源：https://cybersecuritynews.com/ec2-grouper-hackers-abusing-aws-tools/