FortiGuard 实验室发现一个名为EC2 Grouper的攻击者组织

FortiGuard 实验室的研究人员发现一个名为“EC2 Grouper”的多产攻击者组织，该组织频繁使用 AWS 工具利用受损凭证。

云环境不断受到攻击，狡猾的威胁组织使用各种技术来获取未经授权的访问。其中一个被称为EC2 Grouper 的威胁组织已成为安全团队的主要对手。

根据 Fortinet 的 FortiGuard Labs 威胁研究团队的最新研究，该组织的特点是其在攻击中持续使用AWS 工具和独特的安全组命名约定。研究人员在数十个客户环境中跟踪了该组织。

顶级黑客组织越来越多地利用 AWS 基础设施。2024 年 12 月，报告显示ShinyHunters 和 Nemesis Group 合作攻击配置错误的服务器，尤其是 AWS S3 Buckets。

EC2 Grouper 通常利用 PowerShell 等 AWS 工具发起攻击，通常使用独特的用户代理字符串。此外，该组织不断创建安全组，其命名模式包括“ec2group”、“ec2group1”、“ec2group12”等。

此外，他们经常使用代码存储库在云攻击中获取凭证，这些凭证通常来自有效账户。这种方法被认为是获取凭证的主要方法。

进一步探究发现，Grouper 使用 API 进行侦察、安全组创建和资源配置，避免了入站访问配置等直接操作。

研究人员 Chris Hall 在博客文章中指出，虽然这些指标可以提供初步线索，但它们通常不足以可靠地检测威胁。这是因为仅仅依靠这些指标可能会产生误导。攻击者可以轻松修改其用户代理，并可能偏离其通常的命名约定。

研究人员没有观察到对 AuthorizeSecurityGroupIngress 的调用，这对于配置使用安全组启动的 EC2 的入站访问至关重要，但他们观察到用于远程访问的 CreateInternetGateway 和 CreateVpc。

此外，在受感染的云环境中，没有任何行动是基于目标或手动活动的。EC2 Grouper 可能会选择性地升级，或者在升级之前检测并隔离受感染的帐户。

研究人员指出，通过分析凭证泄露和 API 使用等信号，安全团队可以制定可靠的检测策略，帮助组织抵御 EC2 Grouper 等老练的黑客组织。他们建议，更有效的方法是监控与合法秘密扫描服务相关的可疑活动，以识别潜在的凭证泄露，这是 EC2 Grouper 的主要访问来源。

技术报告：

https://www.fortinet.com/blog/threat-research/catching-ec2-grouper-no-indicators-required

新闻链接：

https://hackread.com/fortiguard-labs-ec2-grouper-aws-credential-exploits/

讲述普通人能听懂的安全故事