名為“EC2 Grouper”的黑客組織，近年來一直在利用AWS工具以及泄露的憑證對云環境展開狩獵型攻擊。在過去的數年里，這個相當活躍的威脅行為主體在數十個客戶環境中被發現，這使其成為網絡安全專家追蹤的最活躍的組織之一。

Fortinet的研究人員發現，“EC2 Grouper”有一個顯著特點，那就是始終使用AWS工具，尤其偏愛利用PowerShell來實施攻擊。該組織會采用獨特的用戶代理字符串和安全組命名規范，通常會創建多個名稱類似“ec2group”、“ec2group1”一直到“ec2group12345”的安全組。

攻擊者主要是從與有效賬戶相關的代碼庫中竊取憑證。一旦獲取這些憑證后，他們就會借助API進行偵察、創建安全組以及配置資源。攻擊策略包括調用DescribeInstanceTypes來盤點EC2類型，還會調用DescribeRegions來收集有關可用區域的信息。

有趣的是，研究人員并未觀察到他們調用AuthorizeSecurityGroupIngress，而這一操作通常是配置對使用安全組啟動的EC2實例的入站訪問所必需的。不過，研究人員注意到了他們調用CreateInternetGateway和CreateVpc的情況，這些操作是實現遠程訪問所必需的。

雖然該組織的最終目標還沒有被確定，但是專家認為資源劫持可能是他們的主要目的。

報告指出，在受感染的云環境中并沒有發現基于特定目標的手動操作或者行動。檢測“EC2 Grouper”的活動對安全團隊來說是一項重大挑戰。由于像用戶代理和組名稱這類傳統指標具有短暫性，所以已被證實對于全面的威脅檢測并不可靠。

相反，專家建議采用更為細致的方法，將多個弱信號關聯起來，從而準確識別惡意行為。建議組織實施多種安全措施，以降低與“EC2 Grouper”以及類似威脅相關的風險。這些措施包括利用云安全態勢管理（CSPM）工具持續監控和評估云環境安全狀況，實施異常檢測技術來識別異常行為，并且對分配給用戶和實例的所有角色遵循最小權限原則。

隨著云環境依舊是復雜威脅行為主體的主要攻擊目標，“EC2 Grouper”這類組織的被發現和分析凸顯了高級檢測機制和強大安全實踐在保護數字資產和敏感信息方面的重要性。

參考來源：https://cybersecuritynews.com/ec2-grouper-hackers-abusing-aws-tools/