黑客滥用AWS泄露的信息进行云狩猎

名为“EC2 Grouper”的黑客组织，近年来一直在利用AWS工具以及泄露的凭证对云环境展开狩猎型攻击。在过去的数年里，这个相当活跃的威胁行为主体在数十个客户环境中被发现，这使其成为网络安全专家追踪的最活跃的组织之一。

Fortinet的研究人员发现，“EC2 Grouper”有一个显著特点，那就是始终使用AWS工具，尤其偏爱利用PowerShell来实施攻击。该组织会采用独特的用户代理字符串和安全组命名规范，通常会创建多个名称类似“ec2group”、“ec2group1”一直到“ec2group12345”的安全组。

攻击者主要是从与有效账户相关的代码库中窃取凭证。一旦获取这些凭证后，他们就会借助API进行侦察、创建安全组以及配置资源。攻击策略包括调用DescribeInstanceTypes来盘点EC2类型，还会调用DescribeRegions来收集有关可用区域的信息。

有趣的是，研究人员并未观察到他们调用AuthorizeSecurityGroupIngress，而这一操作通常是配置对使用安全组启动的EC2实例的入站访问所必需的。不过，研究人员注意到了他们调用CreateInternetGateway和CreateVpc的情况，这些操作是实现远程访问所必需的。

虽然该组织的最终目标还没有被确定，但是专家认为资源劫持可能是他们的主要目的。

报告指出，在受感染的云环境中并没有发现基于特定目标的手动操作或者行动。检测“EC2 Grouper”的活动对安全团队来说是一项重大挑战。由于像用户代理和组名称这类传统指标具有短暂性，所以已被证实对于全面的威胁检测并不可靠。

相反，专家建议采用更为细致的方法，将多个弱信号关联起来，从而准确识别恶意行为。建议组织实施多种安全措施，以降低与“EC2 Grouper”以及类似威胁相关的风险。这些措施包括利用云安全态势管理（CSPM）工具持续监控和评估云环境安全状况，实施异常检测技术来识别异常行为，并且对分配给用户和实例的所有角色遵循最小权限原则。

随着云环境依旧是复杂威胁行为主体的主要攻击目标，“EC2 Grouper”这类组织的被发现和分析凸显了高级检测机制和强大安全实践在保护数字资产和敏感信息方面的重要性。