AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

admin 2025年6月14日20:39:15评论17 views字数 3407阅读11分21秒阅读模式
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

喜欢就关注我们哦~

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

上一章节《凌晨两点的数字核弹:37 小时不眠夜,一个 USER root 掀翻西方安防体系》暗流涌动。本文根据Lazarus入侵ByBit改编而来,具体细节描述通过分析开源报告而来。文章不适合50-60岁以上老年人观看!

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

第三章:AWS云入侵

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

他再次睁开眼时,东方已微亮,平壤的天空像被削过一刀,呈现出一种死寂的灰蓝色。小金没有合眼。他不需要。他的大脑仍在运行,比任何机器都高效。他坐在原地,像一座石雕。除了呼吸、除了偶尔手指敲击触控板的细小动静,一切如死水。

但他的精神却在狂奔。本地窃取模块已完成执行。他拥有了他想要的一切——AWS 凭证、SSH 私钥、开发者浏览器中的 Session Cookie,甚至连 Chrome 的自动填充银行账户字段也被完整提取。默默的拿起了手中的安卓手机一边看着手机中的钱包的金额,一边玩起了拧螺丝小游戏,仿佛只有这样才能消除内心的紧张。

他知道,真正的狩猎现在才刚开始。

终端再次被唤醒。他敲下第一条验证命令:

aws sts get-caller-identity --profile docker_leaked

屏幕回显的一行文字像一道封印被解开:

{"Account": "6893xxxxxx99","UserId": "AROAxxx:Dev_Session","Arn": "arn:aws:sts::6893xxxxxx99:assumed-role/SafeWallet-Dev/dev1"}
他没有反应。只是盯着那串 ARN,默默吐出一口气。
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

“SafeWallet,终于轮到你了。”

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
他缓缓地坐直身体,像一个等待多时的外科医生,在手术刀前完成心境的沉淀。接下来的一切,必须精准、无声、致命。
他敲下第二条命令:
aws s3 ls --region us-east-1 --profile docker_leaked
几行 S3 存储桶名称瞬间浮现:
app.safe.globaldev.safe.globallogs.safe.global
他注视这些名称良久,仿佛在凝视一排裸露的动脉。
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

“我不需要破解什么密码,只要你打开了门,我会像雾一样进来。”

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
他的语气很轻,但字字如钉。
他不慌。他甚至在这时候起身,拧开水壶,泡了杯冷柚茶。水声咕噜作响,而终端依旧停在那几行 S3 名字上——它们安静地等待着命运。
小金回到桌前,一边吹着茶面上的雾气,一边用手指敲下一段 Bash:
aws s3 sync s3://app.safe.global ./safe_frontend --profile docker_leaked
目录同步开始。
他静静看着文件一行一行滑入本地硬盘,如同窥视别人脑中的想法被一字一句倒出。他没有触碰键盘,也没有切换窗口。他只是目送着:
download: _next/static/chunks/pages/_app-xxxxxxx.jsdownload: static/js/main.xxxxx.jsdownload: _next/static/chunks/framework.xxxxx.js...
那些文件,是一扇门,是整个 SafeWallet 的视觉神经。
他几乎能看见,在不远的未来,这些文件将变成毒液,涂抹在每一个用户打开浏览器的第一帧。可现在,他只是坐在那里,像画师打量一幅未完成的画。
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

“静下来,小金。这不是侵入。这是接管。”

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
他在心中低语,仿佛害怕打破房间的沉默会惊动了什么。
接下来,是权限测试。
他知道,这组 AWS 会话令牌虽然来自 MFA 登录,但依然可能存在策略限制。他必须确认自己能走到多深。
于是,他开始尝试:
aws iam create-role --role-name tempAdmin --assume-role-policy-document file://trust.json --profile docker_leaked
终端瞬间返回:
An error occurred (AccessDeniedwhen calling the CreateRole operation: User isnot authorized to perform: iam:CreateRole
那一瞬间,小金的眉头微微一动。
但他没有生气,也没有懊恼。他只是缓缓地伸出手指,在桌面上轻轻敲了三下,像在默数呼吸。
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

“被拒绝了很好,说明你们害怕。但你们忘了另一件事——我在你们里面。”

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
他笑了,轻微但带着冷意。
他不需要暴力提权。他只需要找到一条足够软的缝隙。于是,他开始枚举 IAM 策略资源信任关系CloudTrail 写入通道——他不是在攻击,他是在剥皮,把整个 AWS 架构的血肉层层撕开。
很快,他发现一处漏洞:
SafeWallet-Dev-Logs 桶权限配置不严,附带写权限。他可以上传一个伪装的 CloudFormation 模板,并通过 Lambda 获得更高权限的执行上下文。
他慢慢将剩下的茶喝完,一边打包构造恶意 Lambda zip 文件。五分钟后,他执行:
aws s3 cp lambda_payload.zip s3://SafeWallet-Dev-Logs/lambda_payload.zip --profile docker_leakedaws cloudformation create-stack --stack-name logBridge --template-body file://lambda_stack.json --capabilities CAPABILITY_NAMED_IAM --profile docker_leaked
指令落下,他像一位赌徒,将最后一枚筹码轻轻放在牌桌中央,然后缓缓靠回椅背。
过了三十七秒,终端回显:
CREATE_COMPLETE
那一刻,他仿佛听见自己脑壳中某根神经断裂时发出的脆响。
他闭上眼,脑海中浮现出一幅画面:
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

一整套企业级云平台,外表完好、服务健康、控制面板正常,却早已被另一个人控制。

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
而那个控制者,就坐在平壤的一个小屋里,穿着开线的军裤,脚踩破拖鞋,手中握着 AWS 的管理员权限。
他缓缓睁开眼,看向屏幕,仿佛能看到整个 SafeWallet 云端架构像玻璃器皿一样暴露在他眼前,随时可以轻轻捏碎
他的声音极轻,却像钢丝摩擦玻璃那样尖锐而冷酷:
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

“等他们反应过来时,一切早已被我写进了他们自己的日志里。”

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

第4章:前端篡改与注入

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

下载的文件已经在目录中堆叠成一片,静静地躺着,如同无意识的躯体,等待被切割。小金戴上耳机,点开了一首低沉的古典钢琴曲。他不是为了听音乐,只是为了压住自己的呼吸。那呼吸此刻显得太重,像是即将扑向什么的野兽。

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

往期热文

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

《凌晨两点的数字核弹:37 小时不眠夜,一个 USER root 掀翻西方安防体系》

2025-06-05

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

14.6亿美元被盗始末,朝鲜小金的自述!

2025-05-29

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

实战Windows后门挖矿分析,附赠完整环境下载!

2025-04-30

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

“搬瓦工”DC1 2G2C的2000GB,VPS到底是不是韭菜?

2025-06-01

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

实战必备:手搓全球部署靶机挖矿、爆破场景一网打尽,网络穿透端口映射技巧全解析

2025-04-23

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

垃圾线路VPS直接起飞变专线节点,成本直降一美元一个月

2025-05-08

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

针对APT29的高级技战法训练:利用TeamCity漏洞进行实战演练

2025-05-22

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

关于我们

团队主要从事做网络安全靶场相关涵盖了传统网络、工业网络安全靶场。靶标包括了docker环境的web靶标、kvm的虚拟化靶标,场景类型包括APT攻击事件场景、APT攻击样本、应急处置场景、传统教学场景及定向行业场景如:电力行业、智能制造等行业。特殊场景如:Crowdstrike、飞塔等业务仿真场景等。靶场在线使用点击全文即可跳转。

01

靶场靶标基于Docker环境构建,聚焦容器安全领域,复现真实CVE漏洞的利用与防御。安全应急环境,对真实攻击事件的快速响应、取证分析及修复能力。

02

展板场景虚实结合高仿真定制业务系统和网络环境,结合APT真实攻击事件分析还原攻击路径和技战法,可1:1进行攻防演练。

03

职业培训提供SIEM应急培训、流量规则编写应急、Crowdstrike和elk edr 规则编写。

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

PS. 碎片化时代,坚持原创不易,欢迎在文章结尾给我们点一个【赞】+【在看】,你的支持就是继续创作的动力!

点赞鼓励一下

AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

原文始发于微信公众号(PTEHub):AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月14日20:39:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!https://cn-sec.com/archives/4165422.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息