Translating MITRE ATT&CK cloud techniques into actual AWS CLI commands requires piecing together multiple sources and reverse-engineering attack chains at the CLI level. The Mitigant Threat Catalog closes this gap with executable CLI commands, CloudTrail event mappings, and YAML-based attack definitions across 30 techniques and 20 AWS services. Free and publicly available at threats.mitigant.io

UPDATED: LLMs automated most phases of the attack

AWS GuardDuty is a managed threat detection service that continuously monitors your AWS environment for malicious activity and unauthorized behavior. Using machine learning, anomaly detection, and integrated threat intelligence, GuardDuty identifies potential threats without requiring you to deploy or manage security infrastructure.

The silent killer: KMS encryption blocking your SIEM integration with zero error logs If you're...

Patricia "Snooki" Galvan is one of those people that you can tell from day one is not cut out for gu... #columbiacountyjail #patriciagalvan #sophiefrazier

Amazon's AWS GuardDuty security team is warning of an ongoing crypto-mining campaign that targets its Elastic Compute Cloud (EC2) and Elastic Container Service (ECS) using compromised credentials for Identity and Access Management (IAM). [...]

Eyal Estrin unread, 8:11 AM (19 minutes ago)    to https://aws.amazon.com/blogs/security/cryptomining-campaign-targeting-amazon-ec2-and-amazon-ecs/ Eyal Estrin CISSP, CCSP, CISM, CISA, CDPSE, CCSK Blog: https://security-24-7.com | Books: https://amzn.to/42Xai9A | https://amzn.to/3Sggbtv Twitter: @eyalestrin | Bluesky: @eyalestrin.bsky.social

Amazon GuardDuty and our automated security monitoring systems identified an ongoing cryptocurrency (crypto) mining campaign beginning on November 2, 2025. The operation uses compromised AWS Identity and Access Management (IAM) credentials to target Amazon Elastic Container Service (Amazon ECS) and Amazon Elastic Compute Cloud (Amazon EC2). GuardDuty Extended Threat Detection was able to correlate signals […]

AmazonのAWS GuardDutyセキュリティチームは、Identity and Access Management（IAM）の侵害された認証情報を用いてElastic Compute Cloud（EC2）およびElastic Container Service（ECS）を標的にする、進行中の暗号資産マイニング（クリプトマイニング）キャンペーンについて警告しています。 この活動は11月2日に開始され、マイニング活動を長期化させ、インシデント対応者の対応を妨げる永続化メカニズムが用いられていました。 脅威アクターは、10月末に作成され、10万回以上プルされたDocker Hubイメージを使用しました。 Amazon EC2サービスはAWS上で仮想マシンを実行でき、ECSはクラウドプラットフォーム上でコンテナ化されたアプリケーション（例：Dockerアプリ）を実行できます。 これらのインスタンスに暗号資産マイナーを仕込むことで、脅威アクターはAWSの顧客とAmazonに計算リソース枯渇の負担を負わせたまま、金銭的利益を得ることができます。 Amazonによると、攻撃者は脆弱性を悪用したのではなく、顧客アカウント内の有効な認証情報を使用しました。 暗号資産マイニングの活動 AWSは本日公開したレポートで、攻撃者がEC2のサービスクォータとIAM権限の偵察を行った後、初期アクセスから10分以内に暗号資産マイニングを開始したと述べています。 これは、10月29日に作成されたDocker Hubイメージyenik65958/secretを指すタスク定義を登録することで可能になりました。このイメージにはSBRMiner-MULTI暗号資産マイナーと、コンテナ起動時に自動的に起動するためのスタートアップスクリプトが含まれていました。 各タスクはCPUユニット16,384とメモリ32GBで構成され、ECS Fargateタスクの希望数は10に設定されていました。 暗号資産マイニングの図出典：Amazon Amazon EC2では、攻撃者は暗号資産マイニングを自動的に開始するスタートアップスクリプトを含む2つの起動テンプレートを作成し、さらに少なくとも各20インスタンスを展開するよう設定された14のオートスケーリンググループを作成しました。最大容量は最大999台に設定されていました。 新しい永続化手法 マシンが稼働すると、攻撃者は管理者がリモートでそれらを終了できないようにする設定を有効化し、対応者がシャットダウン前に明示的に保護を無効化しなければならないようにしました。これは対応を遅らせ、暗号資産マイニングの利益を最大化するために導入された可能性があります。 「このキャンペーンで観測された興味深い手法は、脅威アクターが起動されたすべてのEC2インスタンスに対してModifyInstanceAttributeを使用し、APIによる終了を無効化したことです」とAmazonは説明しています。 「インスタンス終了保護はインスタンスの誤終了を防ぐ一方で、インシデント対応能力に追加の考慮事項をもたらし、自動化された修復コントロールを妨げる可能性があります」と同社は述べています。 キャンペーンを特定した後、Amazonは影響を受けた顧客に対し、暗号資産マイニング活動と、侵害されたIAM認証情報をローテーションする必要性について通知しました。 また、悪意のあるDocker Hubイメージはプラットフォームから削除されましたが、Amazonは脅威アクターが別名や別の発行者アカウントで類似のイメージを展開する可能性があると警告しています。 翻訳元:

Amazon's AWS GuardDuty security team is warning of an ongoing crypto-mining campaign that targets its Elastic Compute Cloud (EC2) and Elastic Container Service (ECS) using compromised credentials for Identity and Access Management (IAM).

AWS GuardDuty identified an ongoing cryptomining campaign using compromised IAM credentials to deploy miners on EC2 and ECS, employing novel persistence techniques like disabling API termination to evade incident response.

GuardDuty 报警称，一项利用被盗 IAM 凭证的多阶段 AWS 攻击正在 ECS 和 EC2 上快速部署矿工，并包含检测、遏制和防护的步骤。

GuardDuty flags a multi-stage AWS attack using stolen IAM credentials to rapidly deploy crypto miners on ECS and EC2, with steps for detection, containment, and prevention.

こんにちは。SREチームのチームリーダーをしている後藤です。 このブログはエムスリー Advent Calendar 2025 7日目の記事になります。 我が家の子供達は今年は初めて(本物の)アドベントカレンダーを手に入れて毎日楽しそうに開封しています。 そんな様子を微笑ましく思いつつ、(テックブログの)アドベントカレンダーをお届けします。 今日はAWSのGuardDutyの通知について書いていきたいと思います。 伊豆シャボテン動物公園のメガネフクロウ。アラート通知はこれぐらいの眼力でウォッチしてます。

こんにちは。SREチームのチームリーダーをしている後藤です。 このブログはエムスリー Advent Calendar 2025 7日目の記事になります。 我が家の子供達は今年は初めて(本物の)アドベントカレンダーを手に入れて毎日楽しそうに開封しています。 そんな様子を微笑ましく思いつつ、(テックブログの)アドベントカレンダーをお届けします。 今日はAWSのGuardDutyの通知について書いていき

Today, we’re announcing new enhancements to Amazon GuardDuty Extended Threat Detection with the addition of two attack sequence findings for Amazon Elastic Compute Cloud (Amazon EC2) instances and Amazon...

Amazon Web Services (AWS) this week made an AWS Security Hub for analyzing cybersecurity data in near real time generally available, while at the same time extending the GuardDuty threat detection capabilities it provides to the Amazon Elastic Compute Cloud (Amazon EC2) and Amazon Elastic Container Service (Amazon ECS). Announced at the AWS re:Invent 2025..

Groups Conversations All groups and messages Sign in     Amazon GuardDuty Extended Threat Detection now supports Amazon EC2 and Amazon ECS 0 views Eyal Estrin unread, 6:04 AM (7 minutes ago)    to https://aws.amazon.com/about-aws/whats-new/2025/12/guardduty-extended-threat-detection-ec2-ecs/ https://aws.amazon.com/blogs/aws/amazon-guardduty-adds-extended-threat-detection-for-amazon-ec2-and-amazon-ecs/ Eyal Estrin CISSP, CCSP, CISM, CISA, CDPSE, CCSK Blog: https://security-24-7.com | Books: https://amzn.to/42Xai9A | https://amzn.to/3Sggbtv Twitter: @eyalestrin | Bluesky: @eyalestrin.bsky.social Reply all Reply to author Forward