AWS ক্লাউড শংসাপত্র চুরি প্রচারাভিযান Azure, Google ক্লাউডে ছড়িয়ে পড়ে

গত কয়েক মাস ধরে Amazon Web Services (AWS) পরিবেশকে লক্ষ্য করে একটি পরিশীলিত ক্লাউড-শংসাপত্র চুরি এবং ক্রিপ্টোমিনিং প্রচারণা এখন Azure এবং Google ক্লাউড প্ল্যাটফর্ম (GCP) তেও প্রসারিত হয়েছে। এবং, প্রচারাভিযানে ব্যবহৃত সরঞ্জামগুলি টিমটিএনটি-এর সাথে জড়িতদের সাথে যথেষ্ট ওভারল্যাপ শেয়ার করে, একটি কুখ্যাত, আর্থিকভাবে অনুপ্রাণিত হুমকি অভিনেতা, গবেষকরা নির্ধারণ করেছেন।

বিস্তৃত লক্ষ্যবস্তু জুনে শুরু হয়েছে বলে মনে হচ্ছে, গবেষকদের মতে সেন্টিনেলওন এবং মাফ করবেন, এবং ধারাবাহিক ক্রমবর্ধমান পরিমার্জনগুলির সাথে সামঞ্জস্যপূর্ণ যা ডিসেম্বরে আক্রমণের সিরিজ শুরু হওয়ার পর থেকে প্রচারণার পিছনে হুমকি অভিনেতা এটি তৈরি করে চলেছে।

তাদের মূল টেকঅ্যাওয়েগুলি তুলে ধরে পৃথক প্রতিবেদনে, সংস্থাগুলি উল্লেখ করেছে যে Azure এবং Google-এর ক্লাউড পরিষেবাগুলিকে লক্ষ্য করে আক্রমণগুলি একই মূল আক্রমণের স্ক্রিপ্টগুলি জড়িত যা এর পিছনে হুমকি গোষ্ঠী AWS প্রচারে ব্যবহার করছে৷ যাইহোক, Azure এবং GCP ক্ষমতাগুলি AWS টুলিংয়ের তুলনায় খুব নতুন এবং কম উন্নত, সেন্টিনেলওনের হুমকি গবেষক অ্যালেক্স ডেলামোট বলেছেন। 

"অভিনেতা কেবলমাত্র সাম্প্রতিক - 24 জুন এবং নতুন - আক্রমণগুলিতে Azure শংসাপত্র সংগ্রহ মডিউলটি প্রয়োগ করেছেন," সে বলে৷ "উন্নয়নটি সামঞ্জস্যপূর্ণ হয়েছে, এবং আমরা সম্ভবত এই পরিবেশগুলির জন্য বেসপোক অটোমেশন সহ আগামী সপ্তাহগুলিতে আরও সরঞ্জামের আবির্ভাব দেখতে পাব, যদি আক্রমণকারী তাদের একটি মূল্যবান বিনিয়োগ খুঁজে পায়।"

সাইবার অপরাধীরা উন্মুক্ত ডকার দৃষ্টান্তের পরে যাচ্ছে

TeamTNT হুমকি গোষ্ঠীটি উন্মুক্ত ক্লাউড পরিষেবাগুলিকে লক্ষ্য করার জন্য সুপরিচিত এবং উন্নতি লাভ করে৷ ক্লাউডের ভুল কনফিগারেশন এবং দুর্বলতাকে কাজে লাগানো. যদিও টিমটিএনটি প্রাথমিকভাবে ক্রিপ্টোমিনিং প্রচারাভিযানের উপর দৃষ্টি নিবদ্ধ করেছিল, এটি সম্প্রতি ডেটা চুরি এবং ব্যাকডোর ডিপ্লয়মেন্ট ক্রিয়াকলাপেও প্রসারিত হয়েছে, যা সর্বশেষ কার্যকলাপ প্রতিফলিত করে। 

সেই শিরায়, সেন্টিনেলঅন এবং পারমিসোর মতে, আক্রমণকারী গত মাস থেকে উদ্ভাসিত ডকার পরিষেবাগুলিকে টার্গেট করা শুরু করেছে, নতুন পরিবর্তিত শেল স্ক্রিপ্টগুলি ব্যবহার করে যা তারা যে পরিবেশে রয়েছে তা নির্ধারণ করতে, সিস্টেমগুলি প্রোফাইল, শংসাপত্রের ফাইলগুলি অনুসন্ধান করতে এবং এক্সফিল্টেট করার জন্য ইঞ্জিনিয়ার করা হয়েছে। তাদের স্ক্রিপ্টগুলিতে পরিবেশ পরিবর্তনশীল বিশদ সংগ্রহের জন্য একটি ফাংশনও রয়েছে, সম্ভবত পরবর্তীতে লক্ষ্য করার জন্য সিস্টেমে অন্য কোনও মূল্যবান পরিষেবা আছে কিনা তা নির্ধারণ করতে ব্যবহৃত হয়, সেন্টিনওয়ান গবেষকরা বলেছেন।

আক্রমণকারীর টুলসেট অন্তর্নিহিত ক্লাউড পরিষেবা প্রদানকারী নির্বিশেষে পরিষেবা পরিবেশের তথ্য গণনা করে, ডেলামোট বলেছেন। “আমরা Azure বা GCP-এর জন্য একমাত্র অটোমেশন দেখেছি তা শংসাপত্র সংগ্রহের সাথে সম্পর্কিত। যেকোন ফলো-অন অ্যাক্টিভিটি সম্ভবত হ্যান্ড-অন-কিবোর্ড।”

ফলাফলগুলি অ্যাকোয়া সিকিউরিটির গবেষণায় যোগ করেছে যা সম্প্রতি দেখানো হয়েছে জনসাধারণের মুখোমুখি ডকার এবং জুপিটারল্যাব এপিআইগুলিকে লক্ষ্য করে দূষিত কার্যকলাপ. অ্যাকোয়া গবেষকরা কার্যকলাপের জন্য দায়ী করেছেন — উচ্চ স্তরের আত্মবিশ্বাসের সাথে — টিমটিএনটি। 

ক্লাউড ওয়ার্ম স্থাপন করা হচ্ছে

তারা মূল্যায়ন করেছিল যে হুমকি অভিনেতা একটি "আক্রমনাত্মক ক্লাউড ওয়ার্ম" তৈরি করছে যা AWS পরিবেশে স্থাপন করার জন্য ডিজাইন করা হয়েছে, যার লক্ষ্য ক্লাউড শংসাপত্র চুরি, সম্পদ হাইজ্যাকিং এবং "সুনামি" নামক একটি পিছনের দরজা স্থাপনের সুবিধার্থে।

একইভাবে, সেন্টিনেলওন এবং পারমিসোর ক্রমবর্ধমান হুমকির যৌথ বিশ্লেষণে দেখা গেছে যে আগের আক্রমণের শেল স্ক্রিপ্ট ছাড়াও, টিমটিএনটি এখন একটি ইউপিএক্স-প্যাকড, গোলং-ভিত্তিক ইএলএফ বাইনারি সরবরাহ করছে। বাইনারি মূলত আক্রমণকারী-নির্দিষ্ট পরিসর স্ক্যান করার জন্য এবং অন্যান্য দুর্বল লক্ষ্যবস্তুতে প্রচার করার জন্য অন্য শেল স্ক্রিপ্ট ড্রপ করে এবং কার্যকর করে।

এই কৃমি প্রচারের প্রক্রিয়াটি একটি নির্দিষ্ট ডকার সংস্করণ ব্যবহারকারী-এজেন্টের সাথে প্রতিক্রিয়া জানাতে থাকা সিস্টেমগুলির সন্ধান করে, ডেলামোট বলেছেন। এই ডকার দৃষ্টান্তগুলি Azure বা GCP এর মাধ্যমে হোস্ট করা যেতে পারে। "অন্যান্য প্রতিবেদনে উল্লেখ করা হয়েছে যে এই অভিনেতারা জনসাধারণের মুখোমুখি জুপিটার পরিষেবাগুলিকে শোষণ করে, যেখানে একই ধারণাগুলি প্রযোজ্য হয়," ডেলামোট বলেছেন, তিনি বিশ্বাস করেন যে TeamTNT বর্তমানে প্রভাবিতদের উপর নির্দিষ্ট উদ্দেশ্য অর্জন করার পরিবর্তে শুধুমাত্র Azure এবং GCP পরিবেশে তার সরঞ্জামগুলি পরীক্ষা করছে। সিস্টেম

এছাড়াও পাশ্বর্ীয় আন্দোলনের ফ্রন্টে, Sysdig গত সপ্তাহে একটি প্রতিবেদন আপডেট করেছে যা এটি ডিসেম্বরে প্রথম প্রকাশিত হয়েছিল, যেখানে AWS এবং Kubernetes পরিষেবাগুলিকে লক্ষ্য করে ScarletEel ক্লাউড শংসাপত্র চুরি এবং ক্রিপ্টোমিনিং প্রচারাভিযানের নতুন বিশদ বিবরণ রয়েছে, যা SentinelOne এবং Permiso টিমটিএনটি কার্যকলাপের সাথে সংযুক্ত করেছে। Sysdig স্থির করেছে যে প্রচারণার প্রাথমিক লক্ষ্যগুলির মধ্যে একটি হল AWS শংসাপত্র চুরি করা এবং সেগুলি ব্যবহার করা শিকারের পরিবেশকে আরও শোষণ করে ম্যালওয়্যার ইনস্টল করে, সম্পদ চুরি করে এবং অন্যান্য দূষিত কার্যকলাপ সম্পাদন করে। 

AWS পরিবেশের বিরুদ্ধে আক্রমণের মতো যেটি Sysdig রিপোর্ট করেছে সেগুলি পরিচিত AWS শোষণ কাঠামোর ব্যবহার জড়িত, যার মধ্যে একটি Pacu, Delamotte notes নামে পরিচিত। Azure এবং GCP ব্যবহার করে সংগঠনগুলিকে অনুমান করা উচিত যে তাদের পরিবেশের বিরুদ্ধে আক্রমণগুলি অনুরূপ কাঠামোর সাথে জড়িত। তিনি সমর্থন করেন যে প্রশাসকরা তাদের লাল দলের সাথে কথা বলে বুঝতে পারেন কোন আক্রমণ কাঠামোগুলি এই প্ল্যাটফর্মগুলির বিরুদ্ধে ভাল কাজ করে। 

"পাকু AWS আক্রমণ করার জন্য একটি পরিচিত লাল দলের প্রিয়," সে বলে। "আমরা আশা করতে পারি এই অভিনেতারা অন্যান্য সফল শোষণ কাঠামো গ্রহণ করবে।"

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google