Hacker benutzten gestohlene AWS-Anmeldeinformationen, um heimlich Kryptowährung zu verminen, die AWS GuardDuty aufgrund ungewöhnlichen Verhaltens entdeckt hat. Hackers used stolen AWS credentials to secretly mine cryptocurrency, detected by AWS GuardDuty due to unusual behavior.

Im November 2025 benutzten Hacker gestohlene AWS IAM-Anmeldeinformationen, um heimlich Kryptowährungen auf kompromittierten Cloud-Ressourcen zu bergen und SBRMiner-MULTI-Malware auf EC2 und ECS innerhalb von Minuten nach Zugriffserfassung bereitzustellen. In November 2025, hackers used stolen AWS IAM credentials to secretly mine cryptocurrency on compromised cloud resources, deploying SBRMiner-MULTI malware on EC2 and ECS within minutes of gaining access. Sie verhinderten die Erkennung durch Testen mit der RunInstances DryRun-Flagge, deaktivierte z.B. Terminierung für Persistenz, erstellte autoskalierende ECS-Cluster und richtete öffentliche Lambda-Funktionen für den langfristigen Zugriff ein. They avoided detection by testing with the RunInstances DryRun flag, disabled instance termination for persistence, created auto-scaling ECS clusters, and set up public Lambda functions for long-term access. AWS GuardDuty hat die Aktivität durch Verhaltensanomalien erkannt und Alarme bei betroffenen Kunden ausgelöst. AWS GuardDuty detected the activity via behavioral anomalies, prompting alerts to affected customers. Der Bruch, der mit einem schlechten Credential-Management wie langlebigen Schlüsseln und fehlendem MFA verbunden ist, unterstreicht die Risiken schwacher Cloud-Sicherheitspraktiken. The breach, linked to poor credential management like long-lived keys and missing MFA, underscores the risks of weak cloud security practices.