توسعت الآن حملة متطورة لسرقة بيانات الاعتماد السحابية والتشفير تستهدف بيئات Amazon Web Services (AWS) خلال الأشهر العديدة الماضية لتشمل Azure وGoogle Cloud Platform (GCP) أيضًا. وقد توصل الباحثون إلى أن الأدوات المستخدمة في الحملة تشترك في تداخل كبير مع تلك المرتبطة بـ TeamTNT، وهو ممثل تهديد سيء السمعة وله دوافع مالية.
ويبدو أن الاستهداف الأوسع قد بدأ في يونيو، وفقًا للباحثين في الحارس واحد و إذن، ويتوافق مع سلسلة متواصلة من التحسينات الإضافية التي أجراها عليها ممثل التهديد الذي يقف وراء الحملة منذ بدء سلسلة الهجمات في ديسمبر.
وفي تقارير منفصلة تسلط الضوء على النقاط الرئيسية، أشارت الشركات إلى أن الهجمات التي تستهدف خدمات Azure وGoogle السحابية تتضمن نفس نصوص الهجوم الأساسية التي كانت مجموعة التهديد التي تقف وراءها تستخدمها في حملة AWS. ومع ذلك، فإن قدرات Azure وGCP حديثة جدًا وأقل تطورًا من أدوات AWS، كما يقول Alex Delamotte، باحث التهديدات في SentinelOne.
وتقول: "لقد نفذ الممثل وحدة جمع بيانات اعتماد Azure فقط في الهجمات الأحدث - في 24 يونيو والأحدث". "لقد كان التطوير متسقًا، ومن المرجح أن نشهد ظهور المزيد من الأدوات خلال الأسابيع المقبلة مع عمليات أتمتة مخصصة لهذه البيئات، إذا وجد المهاجم أنها استثمار قيم."
مجرمو الإنترنت يلاحقون مثيلات Docker المكشوفة
تشتهر مجموعة التهديد TeamTNT باستهداف الخدمات السحابية المكشوفة وتزدهر استغلال التكوينات السحابية الخاطئة ونقاط الضعف. في حين ركز فريق TeamTNT في البداية على حملات التعدين المشفرة، فقد توسع مؤخرًا ليشمل أنشطة سرقة البيانات والنشر الخلفي أيضًا، وهو ما يعكسه النشاط الأخير.
في هذا السياق، وفقًا لـ SentinelOne وPermiso، بدأ المهاجم في استهداف خدمات Docker المكشوفة اعتبارًا من الشهر الماضي، باستخدام نصوص برمجية معدلة حديثًا تم تصميمها لتحديد البيئة الموجودة فيها، وتعريف الأنظمة، والبحث عن ملفات الاعتماد، والتصفية. هم. وقال باحثو SentineOne إن النصوص البرمجية تحتوي أيضًا على وظيفة لجمع تفاصيل متغيرات البيئة، والتي من المحتمل استخدامها لتحديد ما إذا كانت هناك أي خدمات قيمة أخرى على النظام لاستهدافها لاحقًا.
يقول ديلاموت إن مجموعة أدوات المهاجم تعدد معلومات بيئة الخدمة بغض النظر عن مزود الخدمة السحابية الأساسي. "كانت عملية الأتمتة الوحيدة التي رأيناها لـ Azure أو GCP مرتبطة بجمع بيانات الاعتماد. من المحتمل أن يكون أي نشاط متابعة عمليًا على لوحة المفاتيح.
وتضاف هذه النتائج إلى الأبحاث التي أجرتها شركة Aqua Security والتي أظهرت مؤخرًا نشاط ضار يستهدف واجهات برمجة تطبيقات Docker وJupyterLab العامة. وأرجع باحثو أكوا هذا النشاط – بدرجة عالية من الثقة – إلى TeamTNT.
نشر الديدان السحابية
وقاموا بتقييم جهة التهديد التي كانت تقوم بإعداد "دودة سحابية عدوانية" مصممة للنشر في بيئات AWS، بهدف تسهيل سرقة بيانات الاعتماد السحابية، واختطاف الموارد، ونشر باب خلفي يسمى "تسونامي".
وبالمثل، أظهر التحليل المشترك الذي أجراه SentinelOne وPermiso للتهديد المتطور أنه بالإضافة إلى نصوص shell من الهجمات السابقة، يقدم TeamTNT الآن ملف ثنائي ELF مدعم بـ UPX ومبني على Golang. يقوم الثنائي بشكل أساسي بإسقاط وتنفيذ برنامج نصي شل آخر لمسح نطاق محدد من قبل المهاجم والانتشار إلى أهداف أخرى ضعيفة.
يقول ديلاموت إن آلية نشر الديدان هذه تبحث عن أنظمة تستجيب لوكيل مستخدم محدد لإصدار Docker. يمكن استضافة مثيلات Docker هذه من خلال Azure أو GCP. تقول ديلاموت: "تشير تقارير أخرى إلى أن هؤلاء الممثلين يستغلون خدمات Jupyter العامة، حيث تنطبق نفس المفاهيم"، مضيفة أنها تعتقد أن TeamTNT يقوم حاليًا فقط باختبار أدواته في بيئة Azure وGCP بدلاً من التطلع إلى تحقيق أهداف محددة على المتأثرين. أنظمة.
وعلى جبهة الحركة الجانبية أيضًا، قامت Sysdig الأسبوع الماضي بتحديث تقرير نشرته لأول مرة في ديسمبر، مع تفاصيل جديدة عن حملة سرقة بيانات الاعتماد السحابية وتعدين العملات المشفرة ScarletEel التي تستهدف خدمات AWS وKubernetes، والتي ربطتها SentinelOne وPermiso بنشاط TeamTNT. قرر Sysdig أن أحد الأهداف الأساسية للحملة هو سرقة بيانات اعتماد AWS واستخدامها مزيد من استغلال بيئة الضحية عن طريق تثبيت برامج ضارة وسرقة الموارد وتنفيذ أنشطة ضارة أخرى.
تشير ديلاموت إلى أن الهجمات مثل تلك التي استهدفت بيئات AWS والتي أبلغ عنها Sysdig تتضمن استخدام أطر عمل استغلال AWS المعروفة، بما في ذلك إطار يسمى Pacu. ينبغي للمؤسسات التي تستخدم Azure وGCP أن تفترض أن الهجمات ضد بيئاتها ستتضمن أطر عمل مماثلة. وتدعو إلى أن يتحدث المسؤولون مع فرقهم الحمراء لفهم أطر الهجوم التي تعمل بشكل جيد ضد هذه المنصات.
وتقول: "إن Pacu هو الفريق الأحمر المفضل لدى مهاجمة AWS". "يمكننا أن نتوقع أن تتبنى هذه الجهات الفاعلة أطر استغلال ناجحة أخرى."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google
- :لديها
- :يكون
- :أين
- 24
- 7
- a
- وفقا
- التأهيل
- أنشطة
- نشاط
- الجهات الفاعلة
- تضيف
- مضيفا
- إضافة
- الإداريين
- تبنى
- دعاة
- بعد
- ضد
- العدواني
- اليكس
- أيضا
- أمازون
- أمازون ويب سيرفيسز
- أمازون ويب سيرفيسز (أوس)
- an
- تحليل
- و
- آخر
- أي وقت
- يبدو
- التقديم
- أكوا
- هي
- AS
- تقييم
- أسوشيتد
- افترض
- At
- مهاجمة
- مهاجمة
- الهجمات
- أتمتة
- AWS
- Azure
- الباب الخلفي
- في الأساس
- BE
- كان
- بدأت
- وراء
- يعتقد
- موصى عليه
- أوسع
- by
- تسمى
- الحملات
- الحملات
- CAN
- قدرات
- تحمل
- سحابة
- منصة سحابة
- الخدمات السحابية
- جمع
- مجموعة شتاء XNUMX
- آت
- الأسابيع المقبلة
- المفاهيم
- الثقة
- كبير
- ثابتة
- تحتوي على
- متواصل
- جوهر
- استطاع
- الاعتماد
- أوراق اعتماد
- حاليا
- البيانات
- ديسمبر
- تقديم
- نشر
- نشر
- تصميم
- تفاصيل
- حدد
- مصمم
- المتقدمة
- التطوير التجاري
- عامل في حوض السفن
- قطرات
- في وقت سابق
- قزم
- الظهور
- البيئة
- البيئات
- المتطورة
- ينفذ
- موسع
- توقع
- استغلال
- استغلال
- مكشوف
- تيسير
- المفضلة—الحقيبة
- ملفات
- ماليا
- النتائج
- الشركات
- الاسم الأول
- ركز
- في حالة
- الأطر
- تبدأ من
- جبهة
- وظيفة
- هدف
- الأهداف
- الذهاب
- شراء مراجعات جوجل
- سحابة جوجل
- نظام التشغيل السحابي من غوغل
- تجمع
- اﻟﺤﺼﺎد
- يملك
- مرتفع
- تسليط الضوء
- استضافت
- لكن
- HTTPS
- if
- أثر
- نفذت
- in
- بما فيه
- معلومات
- في البداية
- تركيب
- إلى
- استثمار
- تنطوي
- IT
- انها
- مشترك
- JPG
- يونيو
- القفل
- معروف
- اسم العائلة
- الى وقت لاحق
- آخر
- أقل
- مستوى
- مثل
- على الأرجح
- مرتبط
- أبحث
- تبدو
- القيام ب
- البرمجيات الخبيثة
- آلية
- مجرد
- تم التعديل
- وحدة
- شهر
- المقبلة.
- الأكثر من ذلك
- الدافع
- حركة
- ناشئ
- جديد
- حديثا
- وأشار
- ملاحظة
- سيئة السمعة
- الآن
- أهداف
- of
- on
- ONE
- فقط
- or
- أخرى
- خارج
- على مدى
- الماضي
- المنصة
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- ابتدائي
- ملفي الشخصي
- مزود
- نشرت
- نطاق
- بدلا
- الأخيرة
- مؤخرا
- أحمر
- يعكس
- بغض النظر
- ذات صلة
- تقرير
- وذكرت
- التقارير
- بحث
- الباحث
- الباحثين
- مورد
- الموارد
- الاستجابة
- s
- قال
- نفسه
- رأى
- يقول
- مسح
- مخطوطات
- بحث
- انظر تعريف
- مستقل
- مسلسلات
- الخدمة
- مقدم الخدمة
- خدماتنا
- عدة
- مشاركة
- هي
- قذيفة
- ينبغي
- أظهرت
- مماثل
- منذ
- متطور
- تحدث
- محدد
- ينتشر
- ناجح
- نظام
- أنظمة
- الوجبات السريعة
- الهدف
- استهداف
- الأهداف
- فريق
- فريق
- الاختبار
- من
- أن
- •
- سرقة
- من مشاركة
- منهم
- هناك.
- تشبه
- هم
- هؤلاء
- التهديد
- عبر
- إلى
- أدوات
- تسونامي
- التي تقوم عليها
- فهم
- تحديث
- تستخدم
- مستعمل
- استخدام
- القيمة
- الإصدار
- جدا
- ضحية
- الضعيفة
- وكان
- we
- الويب
- خدمات ويب
- أسبوع
- أسابيع
- حسن
- ابحث عن
- التي
- في حين
- سوف
- مع
- للعمل
- دودة
- زفيرنت