Eine ausgefeilte Cloud-Credential-Diebstahl- und Kryptomining-Kampagne, die in den letzten Monaten auf Amazon Web Services (AWS)-Umgebungen abzielte, wurde nun auch auf Azure und Google Cloud Platform (GCP) ausgeweitet. Und die in der Kampagne verwendeten Tools weisen erhebliche Überschneidungen mit denen von TeamTNT auf, einem berüchtigten, finanziell motivierten Bedrohungsakteur, haben Forscher festgestellt.
Die umfassendere Ausrichtung scheint laut Forschern im Juni begonnen zu haben Sentinel Eins und Entschuldigen Sieund steht im Einklang mit einer kontinuierlichen Reihe schrittweiser Verbesserungen, die der Bedrohungsakteur hinter der Kampagne seit Beginn der Angriffsserie im Dezember daran vorgenommen hat.
In separaten Berichten, die ihre wichtigsten Erkenntnisse hervorheben, stellten die Unternehmen fest, dass die Angriffe auf Azure und die Cloud-Dienste von Google dieselben Kernangriffsskripte beinhalten, die die dahinterstehende Bedrohungsgruppe in der AWS-Kampagne verwendet hat. Allerdings sind die Azure- und GCP-Funktionen noch in den Kinderschuhen und weniger entwickelt als die AWS-Tools, sagt Alex Delamotte, Bedrohungsforscher bei SentinelOne.
„Der Akteur hat das Azure-Modul zur Erfassung von Anmeldeinformationen nur bei den neueren Angriffen – vom 24. Juni und neuer – implementiert“, sagt sie. „Die Entwicklung verlief kontinuierlich und wir werden in den kommenden Wochen wahrscheinlich weitere Tools mit maßgeschneiderten Automatisierungen für diese Umgebungen sehen, falls der Angreifer sie als wertvolle Investition ansieht.“
Cyberkriminelle haben es auf exponierte Docker-Instanzen abgesehen
Die TeamTNT-Bedrohungsgruppe ist dafür bekannt, dass sie exponierte Cloud-Dienste ins Visier nimmt, und floriert weiterhin Ausnutzen von Fehlkonfigurationen und Schwachstellen in der Cloud. Während sich TeamTNT zunächst auf Krypto-Mining-Kampagnen konzentrierte, hat es sich in jüngerer Zeit auch auf Datendiebstahl und Backdoor-Einsatzaktivitäten ausgeweitet, was die jüngste Aktivität widerspiegelt.
In diesem Sinne hat der Angreifer laut SentinelOne und Permiso seit letztem Monat begonnen, exponierte Docker-Dienste ins Visier zu nehmen, indem er neu modifizierte Shell-Skripte verwendet, die darauf ausgelegt sind, die Umgebung zu ermitteln, in der sie sich befinden, die Systeme zu profilieren, nach Anmeldedatendateien zu suchen und sie zu exfiltrieren ihnen. Die Skripte enthalten auch eine Funktion zum Sammeln von Umgebungsvariablendetails, die wahrscheinlich verwendet wird, um festzustellen, ob es auf dem System andere wertvolle Dienste gibt, auf die später abgezielt werden kann, so die Forscher von SentineOne.
Das Toolset des Angreifers zählt Informationen zur Dienstumgebung unabhängig vom zugrunde liegenden Cloud-Dienstanbieter auf, sagt Delamotte. „Die einzige Automatisierung, die wir für Azure oder GCP gesehen haben, bezog sich auf das Sammeln von Anmeldeinformationen. Bei jeder Folgeaktivität handelt es sich wahrscheinlich um praktische Übungen.“
Die Ergebnisse ergänzen die kürzlich durchgeführten Untersuchungen von Aqua Security bösartige Aktivitäten, die auf öffentlich zugängliche Docker- und JupyterLab-APIs abzielen. Aqua-Forscher führten die Aktivität – mit hoher Sicherheit – auf TeamTNT zurück.
Bereitstellung von Cloud-Würmern
Sie gingen davon aus, dass der Bedrohungsakteur einen „aggressiven Cloud-Wurm“ vorbereitete, der in AWS-Umgebungen eingesetzt werden sollte, mit dem Ziel, den Diebstahl von Cloud-Anmeldeinformationen, die Entführung von Ressourcen und die Bereitstellung einer Hintertür namens „Tsunami“ zu erleichtern.
In ähnlicher Weise ergab die gemeinsame Analyse der sich entwickelnden Bedrohung durch SentinelOne und Permiso, dass TeamTNT zusätzlich zu den Shell-Skripten früherer Angriffe jetzt eine UPX-gepackte, Golang-basierte ELF-Binärdatei bereitstellt. Die Binärdatei löscht grundsätzlich ein anderes Shell-Skript und führt es aus, um einen vom Angreifer angegebenen Bereich zu scannen und an andere anfällige Ziele weiterzugeben.
Dieser Wurmverbreitungsmechanismus sucht nach Systemen, die mit einem bestimmten Benutzeragenten der Docker-Version reagieren, sagt Delamotte. Diese Docker-Instanzen könnten über Azure oder GCP gehostet werden. „Andere Berichte weisen darauf hin, dass diese Akteure öffentlich zugängliche Jupyter-Dienste ausnutzen, bei denen dieselben Konzepte gelten“, sagt Delamotte und fügt hinzu, dass sie glaubt, dass TeamTNT seine Tools derzeit lediglich in Azure- und GCP-Umgebungen testet, anstatt bestimmte Ziele bei den Betroffenen zu erreichen Systeme.
Ebenfalls im Bereich der lateralen Bewegung aktualisierte Sysdig letzte Woche einen Bericht, den es erstmals im Dezember veröffentlichte, mit neuen Details der Cloud-Anmeldedatendiebstahl- und Kryptomining-Kampagne ScarletEel, die auf AWS- und Kubernetes-Dienste abzielt und die SentinelOne und Permiso mit der TeamTNT-Aktivität in Verbindung gebracht haben. Sysdig stellte fest, dass eines der Hauptziele der Kampagne darin besteht, AWS-Anmeldeinformationen zu stehlen und sie dafür zu verwenden die Umgebung des Opfers weiter ausnutzen durch die Installation von Malware, den Diebstahl von Ressourcen und die Durchführung anderer böswilliger Aktivitäten.
Bei Angriffen wie dem von Sysdig gemeldeten Angriff auf AWS-Umgebungen kommen bekannte AWS-Ausnutzungs-Frameworks zum Einsatz, darunter eines namens Pacu, stellt Delamotte fest. Organisationen, die Azure und GCP verwenden, sollten davon ausgehen, dass Angriffe auf ihre Umgebungen ähnliche Frameworks beinhalten. Sie plädiert dafür, dass Administratoren mit ihren Red Teams sprechen, um zu verstehen, welche Angriffs-Frameworks gegen diese Plattformen gut funktionieren.
„Pacu ist ein bekannter Favorit des roten Teams für Angriffe auf AWS“, sagt sie. „Wir können davon ausgehen, dass diese Akteure andere erfolgreiche Ausbeutungsrahmen übernehmen werden.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
- Quelle: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google
- :hast
- :Ist
- :Wo
- 24
- 7
- a
- Nach
- Erreichen
- Aktivitäten
- Aktivität
- Akteure
- hinzufügen
- Hinzufügen
- Zusatz
- Administratoren
- adoptieren
- Befürworter
- Nach der
- gegen
- aggressiv
- alex
- ebenfalls
- Amazon
- Amazon Web Services
- Amazon Web Services (AWS)
- an
- Analyse
- und
- Ein anderer
- jedem
- erscheint
- Bewerbung
- Wasser
- SIND
- AS
- bewertet
- damit verbundenen
- annehmen
- At
- Attacke
- Offensives
- Anschläge
- Automation
- AWS
- Azure
- Hintertür-
- Grundsätzlich gilt
- BE
- war
- begonnen
- hinter
- glaubt,
- maßgeschneiderte
- breiteres
- by
- namens
- Kampagnen (Campaign)
- Kampagnen
- CAN
- Fähigkeiten
- Tragen
- Cloud
- Cloud-Plattform
- Cloud-Services
- Das Sammeln
- Sammlung
- Kommen
- kommende Wochen
- Konzepte
- Vertrauen
- erheblich
- konsistent
- enthalten
- kontinuierlich
- Kernbereich
- könnte
- KREDENTIAL
- Referenzen
- Zur Zeit
- technische Daten
- Dezember
- liefern
- einsetzen
- Einsatz
- entworfen
- Details
- Bestimmen
- entschlossen
- entwickelt
- Entwicklung
- Docker
- Drops
- Früher
- Elf
- entstehen
- Arbeitsumfeld
- Umgebungen
- sich entwickelnden
- Führt aus
- ergänzt
- erwarten
- Ausnutzen
- Ausbeutung
- ausgesetzt
- erleichtern
- Favorit
- Mappen
- finanziell
- Finden Sie
- Befund
- Firmen
- Vorname
- konzentriert
- Aussichten für
- Gerüste
- für
- Materials des
- Funktion
- Kundenziele
- Ziele
- gehen
- Cumolocity
- Google Cloud Platform
- Gruppe an
- Ernte
- Haben
- GUTE
- Hervorheben
- gehostet
- aber
- HTTPS
- if
- wirkt
- umgesetzt
- in
- Einschließlich
- Information
- anfänglich
- Installieren
- in
- Investition
- beteiligen
- IT
- SEINE
- dank
- jpg
- Juni
- Wesentliche
- bekannt
- Nachname
- später
- neueste
- weniger
- Niveau
- Gefällt mir
- wahrscheinlich
- verknüpft
- suchen
- SIEHT AUS
- Making
- Malware
- Mechanismus
- nur
- geändert
- Modul
- Monat
- Monat
- mehr
- motiviert
- Bewegung
- im Entstehen begriffen
- Neu
- neu
- bekannt
- Notizen
- berüchtigt
- jetzt an
- of
- on
- EINEM
- einzige
- or
- Andere
- übrig
- passt
- Plattform
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- primär
- Profil
- Versorger
- veröffentlicht
- Angebot
- lieber
- kürzlich
- kürzlich
- Rot
- spiegelt
- Ungeachtet
- bezogene
- berichten
- Berichtet
- Meldungen
- Forschungsprojekte
- Forscher
- Forscher
- Ressourcen
- Downloads
- reagiert
- s
- Said
- gleich
- sah
- sagt
- Scannen
- Skripte
- Suche
- sehen
- getrennte
- Modellreihe
- Dienstanbieter
- Lösungen
- mehrere
- Teilen
- sie
- Schale
- sollte
- zeigte
- ähnlich
- da
- anspruchsvoll
- sprechen
- spezifisch
- Spreads
- erfolgreich
- System
- Systeme und Techniken
- Takeaways
- Target
- Targeting
- Ziele
- Team
- Teams
- Testen
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Diebstahl
- ihr
- Sie
- Dort.
- Diese
- vom Nutzer definierten
- diejenigen
- Bedrohung
- Durch
- zu
- Werkzeuge
- Tsunami
- zugrunde liegen,
- verstehen
- aktualisiert
- -
- benutzt
- Verwendung von
- wertvoll
- Version
- sehr
- Opfer
- Verwundbar
- wurde
- we
- Netz
- Web-Services
- Woche
- Wochen
- GUT
- Was
- welche
- während
- werden wir
- mit
- Arbeiten
- Wurm
- Zephyrnet
