摘要

发现 EC2 Grouper： 研究人员发现 EC2 Grouper 使用 “ec2group12345 ”等独特模式利用 AWS 凭据和工具。凭据破坏：他们主要从与有效账户绑定的代码库中获取凭据。依赖 API： 该小组避免手动活动，而是使用 API 进行侦查和资源创建。检测挑战： 命名约定和用户代理等指标对于一致检测来说并不可靠。安全建议： 使用 CSPM 工具，监控凭证滥用，并检测异常 API 活动，以降低风险。

云环境不断受到攻击，复杂的威胁行为者利用各种技术获取未经授权的访问。其中一种被称为 EC2 Grouper 的行为者已成为安全团队的显著对手。

根据Fortinet的FortiGuard实验室威胁研究团队的最新研究，该组织的特点是在攻击中持续使用AWS工具和独特的安全组命名规则。由于类似的用户代理和安全组命名约定，研究人员在几十个客户环境中追踪到了这个角色。

最新消息是在顶级黑客组织越来越多地利用 AWS 基础设施的情况下披露的。2024 年 12 月，有报告显示 ShinyHunters 和 Nemesis Group 合作攻击配置错误的服务器，尤其是 AWS S3 Buckets。

EC2 Grouper 通常利用 PowerShell 等 AWS 工具发起攻击，并经常使用独特的用户代理字符串。此外，该组织还持续创建具有 “ec2group”、“ec2group1”、“ec2group12 ”等命名模式的安全组。此外，他们在云攻击中还经常使用代码库来获取凭证，这些凭证通常来自有效账户。这种方法被认为是获取凭证的主要方法。

进一步探测发现，Grouper 使用 API 进行侦查、安全组创建和资源调配，避免了入站访问配置等直接操作。

研究人员克里斯-霍尔（Chris Hall）在与 hackread.com 分享的博文中指出，虽然这些指标可以提供初步线索，但往往不足以进行可靠的威胁检测。这是因为仅仅依靠这些指标可能会产生误导。攻击者可以轻易修改其用户代理，并可能偏离其通常的命名惯例。

研究人员没有观察到对 AuthorizeSecurityGroupIngress 的调用，该调用对于配置安全组启动的 EC2 的入站访问至关重要，但他们观察到了用于远程访问的 CreateInternetGateway 和 CreateVpc。

此外，在被入侵的云环境中，没有任何行动是基于目标或手动活动的。EC2 Grouper 在升级时可能是有选择性的，或者是在升级前检测到并隔离了受损账户。

截图： FortiGuard 实验室

不过，研究人员指出，通过分析凭证泄露和 API 使用等信号，安全团队可以制定可靠的检测策略，帮助企业抵御 EC2 Grouper 这样的复杂对手。他们建议，更有效的方法是监控与合法秘密扫描服务相关的可疑活动，以识别潜在的凭据泄露，而凭据泄露是 EC2 Grouper 的主要访问来源。

为了保证安全，企业还必须利用云安全态势管理（CSPM）工具来持续监控和评估云环境的安全态势。实施异常检测技术来识别云环境中的异常行为，如意外的 API 调用、资源创建或数据外渗，也会有所帮助。