AWS Cloud Credential Staaling -kampanja leviää Azureen, Google Cloudiin

Viime kuukausien ajan kehittynyt Amazon Web Services (AWS) -ympäristöihin kohdistettu pilvitunnistetietojen varastamis- ja kryptominointikampanja on nyt laajentunut myös Azureen ja Google Cloud Platformiin (GCP). Ja kampanjassa käytetyillä työkaluilla on huomattavaa päällekkäisyyttä niiden työkalujen kanssa, jotka liittyvät pahamaineiseen, taloudellisesti motivoituneeseen uhkatekijään TeamTNT:hen, tutkijat ovat todenneet.

Tutkijoiden mukaan laajempi kohdistus näyttää alkaneen kesäkuussa SentinelOne ja Anteeksi, ja se on johdonmukainen jatkuvan sarjan asteittain parannuksia, joita kampanjan takana oleva uhkatoimija on tehnyt sille hyökkäyssarjan alkamisesta joulukuussa.

Erillisissä raporteissaan, joissa korostettiin keskeisiä poimintojaan, yritykset huomauttivat, että Azureen ja Googlen pilvipalveluihin kohdistuvat hyökkäykset sisältävät samoja ydinhyökkäysskriptejä, joita sen takana oleva uhkaryhmä on käyttänyt AWS-kampanjassa. Azure- ja GCP-ominaisuudet ovat kuitenkin hyvin syntymässä ja vähemmän kehittyneitä kuin AWS-työkalut, sanoo Alex Delamotte, SentinelOnen uhkatutkija. 

"Näyttelijä otti Azuren tunnistetietojen keräysmoduulin käyttöön vain uudemmissa - 24. kesäkuuta ja sitä uudemmissa - hyökkäyksissä", hän sanoo. "Kehitys on ollut johdonmukaista, ja tulemme todennäköisesti näkemään tulevien viikkojen aikana lisää työkaluja, joissa on räätälöityjä automaatioita näihin ympäristöihin, jos hyökkääjä pitää niitä arvokkaana sijoituksena."

Tietoverkkorikolliset, jotka etsivät paljastuneita Docker-tapauksia

TeamTNT-uhkaryhmä tunnetaan hyvin paljaiden pilvipalvelujen kohdistamisesta ja menestyy pilvivirheiden ja haavoittuvuuksien hyödyntäminen. Vaikka TeamTNT keskittyi alun perin kryptominointikampanjoihin, se on viime aikoina laajentunut myös tietovarkauksiin ja takaoven käyttöönottotoimintoihin, mitä viimeisin toiminta heijastaa. 

SentinelOnen ja Permison mukaan hyökkääjä on alkanut kohdistaa kohteensa paljastettuihin Docker-palveluihin viime kuusta lähtien käyttämällä äskettäin muokattuja komentosarjoja, jotka on suunniteltu määrittämään ympäristö, jossa ne ovat, profiloimaan järjestelmät, etsimään tunnistetiedostoja ja suodattamaan tietoja. niitä. Skriptit sisältävät myös toiminnon ympäristömuuttujien yksityiskohtien keräämiseen, jota todennäköisesti käytetään määrittämään, onko järjestelmässä muita arvokkaita palveluita, joita kohdennettaisiin myöhemmin, SentineOne-tutkijat sanoivat.

Hyökkääjän työkalusarja luettelee palveluympäristön tiedot taustalla olevasta pilvipalvelun tarjoajasta riippumatta, Delamotte sanoo. "Ainoa automaatio, jonka näimme Azurelle tai GCP:lle, liittyi valtuustietojen keräämiseen. Kaikki jatkotoiminta on todennäköisesti käytännön näppäimistöä."

Tulokset täydentävät Aqua Securityn äskettäin tekemää tutkimusta haitallinen toiminta, joka kohdistuu julkisiin Docker- ja JupyterLab-sovellusliittymiin. Aqua-tutkijat katsoivat toiminnan – korkealla luottamustasolla – TeamTNT:n ansioksi. 

Pilvimatojen käyttöönotto

He arvioivat, että uhkatoimija valmisteli "aggressiivista pilvimatoa", joka oli suunniteltu käytettäväksi AWS-ympäristöissä tavoitteena helpottaa pilvitietojen varkauksia, resurssien kaappausta ja "tsunamin" -nimisen takaoven käyttöönottoa.

Vastaavasti SentinelOnen ja Permison yhteinen analyysi kehittyvästä uhasta osoitti, että aiempien hyökkäysten komentotulkkiskriptien lisäksi TeamTNT toimittaa nyt UPX-pakatun Golang-pohjaisen ELF-binaarin. Binaari periaatteessa pudottaa ja suorittaa toisen komentosarjan hyökkääjän määrittämän alueen tarkistamiseksi ja leviämiseksi muihin haavoittuviin kohteisiin.

Tämä madon leviämismekanismi etsii järjestelmiä, jotka vastaavat tietyllä Docker-version käyttäjäagentilla, Delamotte sanoo. Näitä Docker-esiintymiä voidaan isännöidä Azuren tai GCP:n kautta. "Muissa raporteissa todetaan, että nämä toimijat hyödyntävät julkisia Jupyter-palveluita, joissa samat käsitteet pätevät", Delamotte sanoo ja lisää uskovansa, että TeamTNT tällä hetkellä vain testaa työkalujaan Azure- ja GCP-ympäristössä sen sijaan, että se pyrkisi saavuttamaan tiettyjä tavoitteita vaikutusalaan kuuluvilla kohteilla. järjestelmät.

Myös sivuttaisliikkeen rintamalla Sysdig päivitti viime viikolla joulukuussa julkaisemansa raportin uusilla yksityiskohdilla ScarletEel-pilvitunnistetietojen varastamisesta ja kryptominointikampanjasta, joka kohdistuu AWS- ja Kubernetes-palveluihin, jotka SentinelOne ja Permiso ovat yhdistäneet TeamTNT-toimintaan. Sysdig päätti, että yksi kampanjan ensisijaisista tavoitteista on varastaa AWS-tunnistetiedot ja käyttää niitä hyödyntää uhrin ympäristöä entisestään asentamalla haittaohjelmia, varastamalla resursseja ja suorittamalla muita haitallisia toimia. 

Sysdigin raportoimat AWS-ympäristöjä vastaan ​​tehdyt hyökkäykset sisältävät tunnettujen AWS-käyttökehysten käyttöä, mukaan lukien Pacu-niminen kehys, Delamotte huomauttaa. Azurea ja GCP:tä käyttävien organisaatioiden tulisi olettaa, että niiden ympäristöjä vastaan ​​tehdyt hyökkäykset sisältävät samanlaisia ​​puitteita. Hän suosittelee, että järjestelmänvalvojat keskustelevat punaisten tiimiensä kanssa ymmärtääkseen, mitkä hyökkäyskehykset toimivat hyvin näitä alustoja vastaan. 

"Pacu on tunnettu punaisen joukkueen suosikki AWS:n hyökkääjässä", hän sanoo. "Voimme odottaa näiden toimijoiden ottavan käyttöön muita onnistuneita hyödyntämiskehyksiä."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google