Ele Geçirilmiş IAM Kimlik Bilgileriyle AWS Üzerinde Gelişmiş Kripto Madencilik Operasyonu

Anasayfa » Ele Geçirilmiş IAM Kimlik Bilgileriyle AWS Üzerinde Gelişmiş Kripto Madencilik Operasyonu
Bulut Güvenliği, Olay Müdahale, Tehdit Analizi
Aralık 20, 2025Aralık 20, 2025Tarafından Cybernews.TR
0
Ele Geçirilmiş IAM Kimlik Bilgileriyle AWS Üzerinde Gelişmiş Kripto Madencilik Operasyonu

Saldırı Zinciri ve Teknik Detaylar

Kasım 2025’te Amazon GuardDuty tarafından tespit edilen bu kampanya, ele geçirilmiş IAM kullanıcı kimlik bilgileriyle AWS kaynaklarında kripto madenciliği yapmayı amaçlıyor. Saldırganlar, RunInstances API çağrısında “DryRun” bayrağını kullanarak öncelikle EC2 servis kotalarını test ediyor ve maliyet oluşmadan izinleri doğruluyor. Bu yöntem, saldırganların altyapının madencilik için uygunluğunu hızlıca değerlendirmesine olanak sağlıyor.

Daha sonra CreateServiceLinkedRole ve CreateRole API çağrılarıyla otomatik ölçeklendirme grupları ve AWS Lambda için gerekli IAM rolleri oluşturuluyor. Lambda rolüne “AWSLambdaBasicExecutionRole” politikası eklenerek otomatik görev yürütme yetkisi sağlanıyor. Saldırganlar, DockerHub üzerindeki “yenik65958/secret:user” adlı kötü amaçlı imajı kullanarak onlarca, bazı vakalarda 50’den fazla ECS kümesi oluşturuyor ve bu kümelerde RandomVIREL algoritmasıyla kripto madenciliği yapıyor.

Hangi Sistemler Risk Altında?

Kampanya, yüksek performanslı GPU ve makine öğrenimi örnekleri dahil olmak üzere çeşitli EC2 örnek tiplerini hedef alıyor. Ayrıca, otomatik ölçeklendirme gruplarını 20’den 999’a kadar ölçeklendirerek kaynak tüketimini maksimize ediyor. “disableApiTermination” parametresinin “True” olarak ayarlanması ise EC2 örneklerinin API, konsol veya CLI üzerinden sonlandırılmasını engelliyor; bu da olay müdahalesini zorlaştırıyor ve madencilik faaliyetlerinin kesintisiz devam etmesine olanak tanıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Güçlü IAM politikaları ve en az ayrıcalık prensibini (PoLP) uygulayın.
  • Uzun vadeli erişim anahtarları yerine geçici kimlik bilgileri kullanarak riskleri azaltın.
  • Tüm kullanıcılar için çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirin.
  • Konteyner güvenliği için imaj tarama ve olağandışı CPU kullanımını ECS görev tanımlarında izleyin.
  • AWS CloudTrail ile tüm API çağrılarını ve olayları detaylı şekilde kaydedin.
  • Otomatik yanıt ve tehdit tespiti için AWS GuardDuty ve benzeri SIEM çözümlerini aktif tutun.
  • EC2 örneklerinde “disableApiTermination” gibi kritik parametre değişikliklerini düzenli olarak denetleyin.
  • Lambda fonksiyonlarına ve IAM rollerine gereksiz erişim izinleri verilmediğinden emin olun.

Teknik Özet

  • Kullanılan zararlı: RandomVIREL kripto madencisi, kötü amaçlı DockerHub imajı.
  • Hedef altyapı: AWS EC2, ECS Fargate, Lambda, otomatik ölçeklendirme grupları.
  • Saldırı yöntemi: Ele geçirilmiş IAM kimlik bilgileri ile DryRun bayrağı kullanarak izin testi, rol oluşturma, kötü amaçlı konteyner dağıtımı.
  • Öne çıkan teknik: “disableApiTermination” parametresi ile örnek sonlandırma koruması.
  • Önerilen savunma: IAM erişim kısıtlamaları, MFA, CloudTrail loglama, konteyner güvenliği, GuardDuty etkinliği.

Bu gelişmiş saldırı, bulut güvenliği ve olay müdahale süreçlerinde IAM yönetiminin ne kadar kritik olduğunu bir kez daha gösteriyor. Siber güvenlik ekiplerinin, bulut ortamlarında erişim kontrollerini sıkılaştırması ve anormal aktiviteleri gerçek zamanlı izleyerek hızlı müdahale kabiliyetini artırması gerekiyor.

, , , , , , ,