FortiGuard实验室的研究人员发现了一个名为“EC2 Grouper”的多产攻击者组织，该组织频繁使用AWS工具利用受损凭证。

云环境不断受到攻击，狡猾的威胁者使用各种技术来获取未经授权的访问。其中一个被称为EC2 Grouper的威胁者已成为安全团队的主要对手。

根据Fortinet的FortiGuard Labs威胁研究团队的最新研究，该组织的特点是其在攻击中持续使用AWS工具和独特的安全组命名约定。由于用户代理和安全组命名约定相似，研究人员在数十个客户环境中跟踪了该行为者。

最新消息是顶级黑客组织越来越多地利用AWS基础设施。2024年12月，报告显示ShinyHunters和Nemesis Group合作攻击配置错误的服务器，尤其是AWS S3 Buckets。

EC2 Grouper通常利用PowerShell等AWS工具发起攻击，通常使用独特的用户代理字符串。此外，该组织不断创建安全组，其命名模式包括“ec2group”、“ec2group1”、“ec2group12”等。此外，他们经常使用代码存储库在云攻击中获取凭证，这些凭证通常来自有效账户。这种方法被认为是获取凭证的主要方法。

进一步探究发现，Grouper使用API进行侦察、安全组创建和资源配置，避免了入站访问配置等直接操作。

研究人员Chris Hall在分享的博客文章中指出，虽然这些指标可以提供初步线索，但它们通常不足以可靠地检测威胁。这是因为仅仅依靠这些指标可能会产生误导。攻击者可以轻松修改其用户代理，并可能偏离其通常的命名约定。

研究人员没有观察到对AuthorizeSecurityGroupIngress的调用，这对于配置使用安全组启动的EC2的入站访问至关重要，但他们观察到用于远程访问的CreateInternetGateway和CreateVpc。

此外，在受感染的云环境中，没有任何行动是基于目标或手动活动的。EC2 Grouper可能会选择性地升级，或者在升级之前检测并隔离受感染的帐户。

不过，研究人员指出，通过分析凭证泄露和API使用等信号，安全团队可以制定可靠的检测策略，帮助组织抵御EC2 Grouper等老练的对手。他们建议，更有效的方法是监控与合法秘密扫描服务相关的可疑活动，以识别潜在的凭证泄露，这是EC2 Grouper的主要访问来源。

为了确保安全，组织还必须利用云安全态势管理(CSPM)工具来持续监控和评估云环境的安全态势。实施异常检测技术来识别云环境中的异常行为(例如意外的API调用、资源创建或数据泄露)也会有所帮助。