全球雲端龍頭Amazon Web Services（AWS）本週揭露一波大規模加密貨幣挖礦攻擊，駭客利用竊取的Identity and Access Management（IAM）憑證，在多位客戶的Amazon EC2與Elastic Container Service（ECS）環境中快速部署挖礦資源，僅10分鐘即完成運作。AWS安全工程師Kyle Koeller在官方部落格指出，此攻擊非AWS基礎設施漏洞，而是憑證外洩所致，已通知受影響客戶。對台灣而言，AWS市佔逾50%，涵蓋金融、電商與製造業，若企業IAM管理鬆散，恐遭無聲劫持，雲端帳單暴增與資料風險並存。資安專家呼籲立即強化MFA與最小權限，防範這波「雲端挖礦工業化」威脅。

 

攻擊於11月初被AWS GuardDuty與自動監控系統偵測，顯示駭客從外部託管服務探測客戶環境，先呼叫GetServiceQuota檢查EC2配額，再以DryRun旗標測試RunInstances API權限—此舉巧妙避開實際成本與偵測足跡。確認權限後，駭客建立兩個IAM角色：CreateServiceLinkedRole用於auto scaling群組，CreateRole並附加AWSLambdaBasicExecutionRole政策給Lambda。這些角色後續成攻擊核心，助持久與擴散。

 

發現與設定階段完成後，駭客在10分鐘內橫跨EC2與ECS部署挖礦資源，展現高效自動化。AWS強調，此為典型雲端濫用：竊取有效憑證獲管理員權限，借合法基礎設施挖礦，轉嫁成本給受害者。近期相關事件如雲端中斷凸顯韌性需求，或機器人網升級雲攻擊，皆顯示加密挖礦從端點轉向雲端，損害更隱蔽。

 

此波攻擊的創新持久性令人警覺：駭客呼叫ModifyInstanceAttribute，將「disable API termination」設為true，迫使受害者先重新啟用終止保護，方能刪除中毒資源。這擾亂事件回應與自動修復，Koeller稱其為「挖礦持久性方法學的進展，資安團隊須留意。」GuardDuty工程師因多帳戶相似手法，判斷為協調戰役，針對憑證洩露客戶。

 

加密挖礦（cryptojacking）常見雲端濫用，推高使用率與帳單。AWS提供IoC助偵測：惡意容器映像yenik65958/secret（Docker Hub，10月29日建立，已下架，但駭客或改名重用）；挖礦域名asia.rplant.xyz、eu.rplant.xyz、na.rplant.xyz；實例命名慣例SPOT-us-east-1-G*-（spot實例）與OD-us-east-1-G-*（on-demand）；Python自動化腳本橫跨攻擊鏈。Koeller警告，「監測這些指標，可及早阻斷。」

 

台灣影響深遠。根據經濟部2025年雲端報告，本地AWS用戶逾30萬企業，金融如玉山銀行數位服務、電商如momo後端，多用EC2與ECS。若憑證外洩，10分鐘內挖礦部署，將致帳單暴漲數十萬元，嚴重者橫移內網竊取機密。資策會資安中心估計，2025年台灣雲端濫用事件漲20%，多因IAM長效金鑰與無MFA。趨勢科技台灣分公司專家張裕敏表示，「這波攻擊借雲端合法性，偵測難—企業若無CloudTrail全記錄，等同盲區。」

 

AWS雖屬客戶責任域，卻提供防範建議：優先臨時憑證而非長效金鑰；全用戶MFA；IAM最小權限；用CloudTrail集中記錄，供資安團隊監控。Koeller補充，「結合GuardDuty，可自動偵測異常API呼叫。」

台灣企業防範可從以下入手：

數位發展部（數發部）資安署已聯繫AWS台灣團隊，要求分享本地IoC，並計劃2026年推「雲端IAM安全指引」。金管會亦提醒金融業，雲端濫用納入資安稽核。立委林昶佐呼籲，「雲端挖礦損失轉嫁用戶，政府應補助GuardDuty工具，守護數位經濟。」

 

這波攻擊雖非AWS漏洞，卻暴露雲端共享責任的痛點：憑證即王國金鑰，一失全崩。Koeller結語，「客戶可偵測、預防或減輕影響。」在台灣雲端轉型浪潮中，此事件是警訊：從被動修補，到主動治理。企業若強化IAM，方能讓雲端從挖礦礦場，變成安全堡壘。2025年雲戰開打，台灣須贏在起跑線。

 

 

出處：本新聞參考自Elizabeth Montalbano於2025年12月18日發表於Dark Reading的報導《Attackers Use Stolen AWS Credentials in Cryptomining Campaign》。