AWS-i pilvemandaatide varastamise kampaania levib Azure'i, Google Cloudi

Viimaste kuude jooksul Amazon Web Servicesi (AWS) keskkondadele suunatud keerukas pilvmandaatide varastamise ja krüptomise kampaania on nüüd laienenud ka Azure'ile ja Google Cloud Platformile (GCP). Teadlased on kindlaks teinud, et kampaanias kasutatud tööriistad kattuvad märkimisväärselt nendega, mis on seotud kurikuulsa ja rahaliselt motiveeritud ohutegija TeamTNT-ga.

Teadlaste sõnul näib, et laiem sihtimine algas juunis SentinelOne ja Vabandage mind, ja on kooskõlas pidevate järkjärguliste täiustuste seeriaga, mida kampaania taga asuv ohustaja on seda teinud alates rünnakute seeria algusest detsembris.

Ettevõtted märkisid eraldi aruannetes, milles rõhutati nende peamisi aspekte, et Azure'i ja Google'i pilveteenustele suunatud rünnakud hõlmavad samu rünnakute põhiskripte, mida selle taga olev ohurühm on AWS-i kampaanias kasutanud. Kuid Azure'i ja GCP võimalused on väga tekkimas ja vähem arenenud kui AWS-i tööriistad, ütleb SentinelOne'i ohtude uurija Alex Delamotte. 

"Näitleja rakendas Azure'i mandaatide kogumise moodulit ainult uuemates - 24. juuni ja uuemates - rünnakutes," ütleb ta. "Areng on olnud järjepidev ja tõenäoliselt näeme järgmiste nädalate jooksul nende keskkondade jaoks kohandatud automatiseerimisega rohkem tööriistu, kui ründaja peaks need väärtuslikuks investeeringuks."

Küberkurjategijad, kes otsivad paljastatud Dockeri juhtumeid

TeamTNT ohurühm on hästi tuntud avatud pilveteenuste sihtimise poolest ja areneb edasi pilve väärkonfiguratsioonide ja haavatavuste ärakasutamine. Kui TeamTNT keskendus algselt krüptomise kampaaniatele, on see hiljuti laienenud ka andmete vargustele ja tagaukse juurutamise tegevustele, mida viimane tegevus kajastab. 

SentinelOne'i ja Permiso andmetel on ründaja hakanud alates eelmisest kuust sihikule võtma avatud Dockeri teenuseid, kasutades äsja muudetud shelliskripte, mis on loodud selleks, et määrata kindlaks nende keskkond, kus nad asuvad, süsteemid profileerida, mandaadifaile otsida ja väljafiltreerida. neid. Skriptid sisaldavad ka funktsiooni keskkonnamuutujate üksikasjade kogumiseks, mida kasutatakse tõenäoliselt selleks, et teha kindlaks, kas süsteemis on muid väärtuslikke teenuseid, mida hiljem sihtida, ütlesid SentineOne'i teadlased.

Delamotte ütleb, et ründaja tööriistakomplekt loetleb teenusekeskkonna teabe sõltumata selle aluseks olevast pilveteenuse pakkujast. „Ainus automatiseerimine, mida Azure'i või GCP jaoks nägime, oli seotud mandaatide kogumisega. Iga järgnev tegevus on tõenäoliselt praktiline klaviatuur.

Need leiud täiendavad hiljuti Aqua Security tehtud uuringut pahatahtlik tegevus, mis sihib avalikkusele suunatud Dockeri ja JupyterLabi API-sid. Aqua teadlased omistasid selle tegevuse – kõrge enesekindlusega – TeamTNT-le. 

Pilveusside juurutamine

Nad hindasid, et ohustaja valmistas ette "agressiivset pilveussi", mis on mõeldud AWS-i keskkondades kasutuselevõtuks, eesmärgiga hõlbustada pilvmandaatide vargust, ressursside kaaperdamist ja "tsunami"-nimelise tagaukse kasutuselevõttu.

Sarnaselt näitas SentinelOne'i ja Permiso areneva ohu ühine analüüs, et lisaks varasemate rünnakute kestaskriptidele tarnib TeamTNT nüüd ka UPX-i pakitud Golangil põhinevat ELF-i binaarfaili. Põhimõtteliselt langeb binaarfail välja ja käivitab ründaja määratud vahemiku skannimiseks ja teistele haavatavatele sihtmärkidele levitamiseks teise kestaskripti.

Delamotte ütleb, et see usside levitamise mehhanism otsib süsteeme, mis reageerivad konkreetse Dockeri versiooni kasutajaagendiga. Neid Dockeri eksemplare saab hostida Azure'i või GCP kaudu. "Teised aruanded märgivad, et need osalejad kasutavad avalikkusele suunatud Jupyteri teenuseid, kus kehtivad samad kontseptsioonid," ütleb Delamotte ja lisab, et ta usub, et TeamTNT katsetab praegu oma tööriistu Azure'i ja GCP keskkonnas, selle asemel, et saavutada mõjutatud aladel konkreetseid eesmärke. süsteemid.

Samuti värskendas Sysdig eelmisel nädalal detsembris esmakordselt avaldatud aruannet, lisades ScarletEeli pilvmandaatide varastamise ja krüptomineerimise kampaania AWS-i ja Kubernetese teenustele uued üksikasjad, mille SentinelOne ja Permiso on linkinud TeamTNT tegevusega. Sysdig otsustas, et kampaania üks peamisi eesmärke on varastada AWS-i mandaate ja kasutada neid ohvri keskkonda veelgi ära kasutada installides pahavara, varastades ressursse ja sooritades muid pahatahtlikke tegevusi. 

Delamotte märgib, et sellised rünnakud nagu AWS-i keskkondade vastu suunatud rünnakud, millest Sysdig teatas, hõlmavad teadaolevate AWS-i kasutusraamistike, sealhulgas Pacu, kasutamist. Azure'i ja GCP-d kasutavad organisatsioonid peaksid eeldama, et nende keskkondade vastu suunatud rünnakud hõlmavad sarnaseid raamistikke. Ta soovitab administraatoritel rääkida oma punaste meeskondadega, et mõista, millised ründeraamistikud nende platvormide vastu hästi töötavad. 

"Pacu on tuntud punase meeskonna lemmik AWS-i ründamisel," ütleb ta. "Võime eeldada, et need osalejad võtavad kasutusele muud edukad kasutusraamistikud."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google