ហេគឃ័រឥណ្ឌូនេស៊ីប្រើ Elastic Compute Cloud (EC2) របស់សេវាកម្មវេបក្រុមហ៊ុន Amazon (AWS) ដើម្បីដំណើរការគ្រីបតូខុសច្បាប់។បន្ទប់ពិសោធ Permiso PO របស់ក្រុមហ៊ុនសន្តិសុខក្លោដ រកឃើញក្រុមហេគឃ័រកាលពីចុងឆ្នាំ២០២១ ហើយដាក់ឈ្មោះថា GUI-vil (អានថា Goo-ee-vil)។ ក្រុមហ៊ុនថ្លែងថា ក្រុមនេះបង្ហាញ preference សម្រាប់ Graphical User Interface (GUI) tools ជាពិសេស S3 Browser (ជំនាន់ 9.5.5) សម្រាប់ដំណើរការចាប់ផ្តើមរបស់ពួកគេ។ នៅពេលចូលប្រើ AWS Console ពួកគេអាចប្រតិបត្តិការដោយផ្ទាល់ទៅកាន់ web browser។
ខ្សែច្រវាក់នៃការវាយប្រហាររបស់ GUI-vil ចាប់ផ្តើមដោយប្រើ AWS keys នៅក្នុងការបង្ហាញប្រភពកូដជាសាធារណៈនៅលើ GitHub ឬស្គេនសម្រាប់ GitLab instances ដែលមានគ្រោះថ្នាក់ដើម្បីប្រើកំហុស ឱ្យប្រតិបត្តិការកូដ (ឧទាហរណ៍ CVE-2021-22205)។ ករណីជោគជ័យ ហេគឃ័រអាចបន្តបង្កើនសិទ្ធិ និងស៊ើបអង្កេតផ្ទៃក្នុងដើម្បីមើល S3 buckets និងកំណត់សេវាដែលប្រើតាមរយៈ AWS web console។
ទិដ្ឋភាពនៃការវាយប្រហារគឺដើម្បីលួចចូល និងសង្ងំនៅក្នុងមជ្ឈដ្ឋានរបស់ជនរងគ្រោះដោយការបង្កើតអ្នកប្រើថ្មីដែលអនុលោមតាមច្បាប់កំណត់អត្តសញ្ញាណ និងចុងក្រោយសម្រេចតាមគោលបំណងរបស់វា។ អ្នកស្រាវជ្រាវពន្យល់ថា GUI-vil នឹងបង្កើត keys សម្រាប់អត្តសញ្ញាណថ្មី ដែលពួកគេកំពុងតែបង្កើត ដូច្នេះពួកគេអាចបន្តប្រើ S3 browser ជាមួយនឹងអ្នកប្រើថ្មីទាំងនេះ។
ចុងក្រោយ ក្រុមនេះបង្កើត login profiles សម្រាប់អ្នកប្រើដែលមានឈ្មោះ ហើយអាចប្រើ AWS console ដោយមិនចាំបាច់លើក red flags។ លីងរបស់ GUI-vil ទៅកាន់ឥណ្ឌូនេស៊ីកើតចេញពីអាសយដ្ឋាន IP មានប្រភពទាក់ទងនឹងលេខប្រព័ន្ធស្វយ័តចំនួន២ (ASNs) ដែលមានទីតាំងនៅប្រទេសអាស៊ីអាគ្នេយ៍។ អ្នកស្រាវជ្រាវថ្លែងថា បេសកកម្មបឋមរបស់ក្រុមនេះជាផ្នែកហិរញ្ញវត្ថុ គឺដើម្បីបង្កើត EC2 instances ដើម្បីសម្របសម្រួលសកម្មភាពដំណើរការគ្រីបតូរបស់ពួកគេ។ មានករណីច្រើន ប្រាក់ចំណេញដែលពួកគេបង្កើតពីគ្រីបតូ គឺគ្រាន់តែជាការចំណាយសម្រាប់ដំណើរការ EC2៕
