La campaña de robo de credenciales en la nube de AWS se extiende a Azure y Google Cloud

La campaña de robo de credenciales en la nube de AWS se extiende a Azure y Google Cloud

Sello de tiempo: 17 de julio de 2023 1:57 p.m.
La campaña de robo de credenciales en la nube de AWS se extiende a Azure y Google Cloud PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.

Una sofisticada campaña de robo de credenciales en la nube y criptominería dirigida a entornos de Amazon Web Services (AWS) durante los últimos meses ahora se ha expandido también a Azure y Google Cloud Platform (GCP). Y los investigadores han determinado que las herramientas utilizadas en la campaña comparten una superposición considerable con las asociadas con TeamTNT, un notorio actor de amenazas con motivación financiera.

La focalización más amplia parece haber comenzado en junio, según investigadores de Centinela y permiso, y es consistente con una serie continua de mejoras incrementales que el actor de amenazas detrás de la campaña ha estado realizando desde que comenzó la serie de ataques en diciembre.

En informes separados que destacan sus conclusiones clave, las empresas señalaron que los ataques dirigidos a Azure y los servicios en la nube de Google involucran los mismos scripts de ataque centrales que el grupo de amenazas detrás de ellos ha estado utilizando en la campaña de AWS. Sin embargo, las capacidades de Azure y GCP son muy incipientes y están menos desarrolladas que las herramientas de AWS, afirma Alex Delamotte, investigador de amenazas de SentinelOne. 

"El actor solo implementó el módulo de recopilación de credenciales de Azure en los ataques más recientes (del 24 de junio en adelante)", dice. "El desarrollo ha sido constante y probablemente veremos surgir más herramientas en las próximas semanas con automatizaciones personalizadas para estos entornos, en caso de que el atacante las considere una inversión valiosa".

Los ciberdelincuentes persiguen instancias de Docker expuestas

El grupo de amenazas TeamTNT es bien conocido por atacar servicios en la nube expuestos y prospera en explotar las configuraciones erróneas y las vulnerabilidades de la nube. Si bien TeamTNT se centró inicialmente en campañas de criptominería, más recientemente se ha expandido también a actividades de robo de datos e implementación de puertas traseras, como refleja la última actividad. 

En ese sentido, según SentinelOne y Permiso, el atacante comenzó a apuntar a los servicios Docker expuestos a partir del mes pasado, utilizando scripts de shell recientemente modificados que están diseñados para determinar el entorno en el que se encuentran, perfilar los sistemas, buscar archivos de credenciales y filtrar. a ellos. Los scripts también contienen una función para recopilar detalles de variables de entorno, probablemente utilizados para determinar si hay otros servicios valiosos en el sistema a los que apuntar más adelante, dijeron los investigadores de SentineOne.

El conjunto de herramientas del atacante enumera información del entorno de servicios independientemente del proveedor de servicios en la nube subyacente, afirma Delamotte. “La única automatización que vimos para Azure o GCP estuvo relacionada con la recolección de credenciales. Es probable que cualquier actividad posterior sea práctica con el teclado”.

Los hallazgos se suman a la investigación de Aqua Security que mostró recientemente actividad maliciosa dirigida a las API públicas de Docker y JupyterLab. Los investigadores de Aqua atribuyeron la actividad (con un alto nivel de confianza) al TeamTNT. 

Implementación de gusanos de nube

Evaluaron que el actor de amenazas estaba preparando un "gusano de nube agresivo" diseñado para implementarse en entornos de AWS, con el objetivo de facilitar el robo de credenciales de nube, el secuestro de recursos y la implementación de una puerta trasera llamada "Tsunami".

De manera similar, el análisis conjunto de SentinelOne y Permiso sobre la evolución de la amenaza mostró que, además de los scripts de shell de ataques anteriores, TeamTNT ahora ofrece un binario ELF basado en Golang y empaquetado en UPX. Básicamente, el binario descarta y ejecuta otro script de shell para escanear un rango especificado por el atacante y propagarlo a otros objetivos vulnerables.

Este mecanismo de propagación de gusanos busca sistemas que respondan con un agente de usuario de una versión específica de Docker, dice Delamotte. Estas instancias de Docker podrían alojarse a través de Azure o GCP. "Otros informes señalan que estos actores explotan los servicios públicos de Jupyter, donde se aplican los mismos conceptos", dice Delamotte, y agrega que cree que TeamTNT actualmente simplemente está probando sus herramientas en el entorno Azure y GCP en lugar de buscar lograr objetivos específicos en los sitios afectados. sistemas.

También en el frente del movimiento lateral, Sysdig actualizó la semana pasada un informe que publicó por primera vez en diciembre, con nuevos detalles de la campaña de criptominería y robo de credenciales en la nube de ScarletEel dirigida a los servicios de AWS y Kubernetes, que SentinelOne y Permiso han vinculado a la actividad de TeamTNT. Sysdig determinó que uno de los objetivos principales de la campaña es robar las credenciales de AWS y utilizarlas para explotar aún más el entorno de la víctima instalando malware, robando recursos y realizando otras actividades maliciosas. 

Ataques como el contra entornos de AWS que informó Sysdig implican el uso de marcos de explotación de AWS conocidos, incluido uno llamado Pacu, señala Delamotte. Las organizaciones que utilizan Azure y GCP deben asumir que los ataques contra sus entornos implicarán marcos similares. Ella aboga por que los administradores hablen con sus equipos rojos para comprender qué marcos de ataque funcionan bien contra estas plataformas. 

"Pacu es un conocido favorito del equipo rojo para atacar a AWS", dice. "Podemos esperar que estos actores adopten otros marcos de explotación exitosos".

Sello de tiempo:

Mas de Lectura oscura