Laterale Bewegung, LLMjacking und GPU-Missbrauch
Nachdem sich die Angreifer administrativen Zugriff verschafft hatten, bewegten sie sich lateral über 19 verschiedene AWS-Principals und erstellten neue Benutzerkonten, um ihre Aktivitäten auf verschiedene Identitäten zu verteilen. Dieser Ansatz ermöglichte den Angreifern Persistenz und erschwerte parallel die Detection, wie die Forscher in ihrem Bericht festhalten.
Anschließend verlagerten die Hacker ihren Fokus auf Amazon Bedrock, ermittelten die verfügbaren Modelle und deaktivierten die Protokollierung von Modellaufrufen. Laut den Forschern wurden dann mehrere Foundation-Modelle aufgerufen , entsprechend dem Muster von „LLMjacking“. Zudem verwies der Code in Teilen auch auf nicht existierende Repositories und Ressourcen, was Sysdig auf LLM-Halluzinationen zurückführt.
Im Anschluss missbrauchten die Angreifer schließlich auch noch Ressourcen. Demnach versuchten die Angreifer, High-End-GPU-Instanzen für Machine-Learning-Workloads zu starten. Während das bei den meisten Instanzen aufgrund von Kapazitätsbeschränkungen fehlschlug, konnten die Cyberkriminellen allerdings eine besonders kostspielige GPU-Instanz starten – inklusive Skripten, um CUDA zu installieren, Trainings-Frameworks bereitzustellen und ein öffentliches JupyterLab-Interface zu exponieren.