Хакеры использовали украденные документы AWS, чтобы тайно добыть зашифрованную валюту, обнаруженную AWS GuardDuty из-за необычного поведения. Hackers used stolen AWS credentials to secretly mine cryptocurrency, detected by AWS GuardDuty due to unusual behavior.

В ноябре 2025 года хакеры использовали украденные аттестаты AWS IAM, чтобы тайно добыть зашифрованную валюту на скомпрометированных облачных ресурсах, развертывая вредоносное программное обеспечение SBRMINer-MULTI на EC2 и ECS в течение нескольких минут с момента получения доступа. In November 2025, hackers used stolen AWS IAM credentials to secretly mine cryptocurrency on compromised cloud resources, deploying SBRMiner-MULTI malware on EC2 and ECS within minutes of gaining access. Они избежали обнаружения, тестируя флаг RunInstances DryRun, отключили завершение экземпляра для персистентности, создали автомасштабирующие кластеры ECS и установили публичные функции Lambda для долгосрочного доступа. They avoided detection by testing with the RunInstances DryRun flag, disabled instance termination for persistence, created auto-scaling ECS clusters, and set up public Lambda functions for long-term access. AWS GuardDuty обнаружила активность с помощью поведенческих аномалий, вызывая сигнализацию затронутых клиентов. AWS GuardDuty detected the activity via behavioral anomalies, prompting alerts to affected customers. Взлом, связанный с плохим управлением учетными данными, такими как ключи с длительным сроком действия и отсутствующие MFA, подчеркивает риски слабой практики безопасности облака. The breach, linked to poor credential management like long-lived keys and missing MFA, underscores the risks of weak cloud security practices.