Krypto-Mining in AWS, ganz ohne Exploit!

Gestohlene IAM-Keys starten Krypto-Mining direkt in AWS IAM-Klau reicht: Angreifer starten Mining in AWS ohne jede Lücke

09.01.2026 Von Thomas Joos 2 min Lesedauer

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)

Die aktuell beobachtete Krypto-Mining-Kampagne in AWS-Umgebungen basiert auf kompromittierten IAM-Anmeldedaten mit weitreichenden Berechtigungen. Der Angriff nutzt ausschließlich reguläre AWS-APIs und genehmigte Funktionen innerhalb des Kundenkontos. Nach Angaben von Amazon, über die auch The Hacker News berichtet, liegt keine Sicherheitslücke in der AWS-Plattform vor, sondern ein klassischer Identitätsmissbrauch im Rahmen des Shared-Responsibility-Modells.

Gestohlene IAM-Administratorkeys erlauben Krypto-Mining in AWS, ganz ohne Exploit!(Bild: Dall-E / KI-generiert) — Gestohlene IAM-Administratorkeys erlauben Krypto-Mining in AWS, ganz ohne Exploit!
(Bild: Dall-E / KI-generiert)

Ausgangspunkt der Kampagne sind gestohlene oder anderweitig kompromittierte IAM-Zugangsdaten mit Administratorrechten. Nach der Anmeldung beginnt eine systematische Erkundung der Umgebung. Der Angreifer prüft verfügbare EC2-Dienstkontingente und Berechtigungen, indem die RunInstances-API mit gesetztem „DryRun“-Flag aufgerufen wird. Dieser Aufruf validiert effektiv die vorhandenen Rechte, ohne Instanzen zu starten oder Kosten zu erzeugen. Gleichzeitig reduziert dieser Ansatz verwertbare Spuren in Abrechnungs- und Betriebsdaten.

Nach erfolgreicher Berechtigungsprüfung folgen gezielte Änderungen an der IAM-Struktur. Über CreateServiceLinkedRole und CreateRole entstehen neue Rollen für Autoscaling-Gruppen und AWS Lambda. An die Lambda-Rollen bindet der Angreifer die Richtlinie „AWSLambdaBasicExecutionRole“, um eine Basisfunktionalität für spätere Automatisierungsschritte bereitzustellen. Parallel werden in vielen Umgebungen neue ECS-Cluster angelegt, teils mehrere Dutzend innerhalb eines einzelnen Kontos.

Cyberkriminelle erpressen Nutzer von AWS S3 Datenbanken. Zugriff auf diese haben sie durch geleakte Zugangschlüssel im Netz erhalten. (Bild: Midjourney / KI-generiert)

Krypto-Mining mit Docker-Container

Innerhalb dieser Cluster registriert der Angreifer bösartige Task-Definitionen über RegisterTaskDefinition. Als Container-Image dient ein präpariertes DockerHub-Repository, das beim Start automatisch ein Shell-Skript ausführt und Krypto-Mining mit dem RandomVIREL-Algorithmus initialisiert. Die anschließende Erstellung von ECS-Services auf Fargate-Knoten startet den eigentlichen Mining-Betrieb. Ergänzend legt der Angreifer Autoscaling-Gruppen an, deren Skalierungsparameter extreme Werte erreichen und so gezielt EC2-Kontingente ausreizen. Dabei kommen GPU-Instanzen, Machine-Learning-Instanzen sowie Compute- und Memory-optimierte Typen zum Einsatz.

Zusätzlich richtet der Angreifer persistente Komponenten jenseits der Rechenressourcen ein. Dazu zählt eine Lambda-Funktion, die von beliebigen Principals aufgerufen werden kann, sowie ein neu angelegter IAM-Benutzer mit angehängter Richtlinie „AmazonSESFullAccess“. Über diesen Zugriff erhält der Angreifer vollständige Kontrolle über Amazon SES und schafft damit die Grundlage für Phishing- oder Spam-Kampagnen aus legitimen AWS-Konten.

Amazon stellt gegenüber The Hacker News ausdrücklich fest, dass es sich nicht um eine Sicherheitslücke innerhalb von AWS handelt. Die beschriebenen Aktivitäten setzen gültige Zugangsdaten voraus und spielen sich vollständig im Kundenbereich des Shared-Responsibility-Modells ab. GuardDuty erkannte die Kampagne frühzeitig und informierte betroffene Kunden automatisiert, obwohl keine Verletzung der Plattformintegrität vorliegt.

Mithilfe sogenannter Name-Confusion-Angriffe sind Cyberkriminelle in der Lage, eine Sicherheitslücke in AWS auszunutzen und bösartigen Code einzuschleusen. (Bild: Dall-E / KI-generiert)

(ID:50665234)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.