Une campagne sophistiquée de vol d'identifiants cloud et de cryptomining ciblant les environnements Amazon Web Services (AWS) au cours des derniers mois s'est désormais étendue à Azure et Google Cloud Platform (GCP). Et les chercheurs ont déterminé que les outils utilisés dans la campagne recoupent considérablement ceux associés à TeamTNT, un acteur malveillant notoire et motivé par des raisons financières.
Le ciblage plus large semble avoir commencé en juin, selon les chercheurs du SentinelleUn et de Pardon, et est cohérent avec une série continue d’améliorations progressives que l’acteur menaçant à l’origine de la campagne y a apporté depuis le début de la série d’attaques en décembre.
Dans des rapports distincts soulignant leurs principaux points à retenir, les sociétés ont noté que les attaques ciblant Azure et les services cloud de Google impliquent les mêmes scripts d'attaque de base que ceux utilisés par le groupe de menace à l'origine de ces attaques dans la campagne AWS. Cependant, les fonctionnalités Azure et GCP sont très balbutiantes et moins développées que les outils AWS, explique Alex Delamotte, chercheur en menaces chez SentinelOne.
"L'acteur n'a implémenté le module de collecte d'informations d'identification Azure que lors des attaques les plus récentes (du 24 juin et plus récentes)," dit-elle. "Le développement a été cohérent et nous verrons probablement davantage d'outils émerger au cours des prochaines semaines avec des automatisations sur mesure pour ces environnements, si l'attaquant y trouve un investissement précieux."
Les cybercriminels s'attaquent aux instances Docker exposées
Le groupe de menaces TeamTNT est bien connu pour cibler les services cloud exposés et prospère grâce à exploiter les erreurs de configuration et les vulnérabilités du cloud. Alors que TeamTNT s'est initialement concentré sur les campagnes de cryptomining, il s'est récemment étendu aux activités de vol de données et de déploiement de portes dérobées, ce que reflète la dernière activité.
Dans cette optique, selon SentinelOne et Permiso, l'attaquant a commencé à cibler les services Docker exposés depuis le mois dernier, en utilisant des scripts shell récemment modifiés, conçus pour déterminer l'environnement dans lequel ils se trouvent, profiler les systèmes, rechercher des fichiers d'informations d'identification et exfiltrer. eux. Les scripts contiennent également une fonction permettant de collecter des détails sur les variables d'environnement, probablement utilisées pour déterminer s'il existe d'autres services précieux sur le système à cibler ultérieurement, ont déclaré les chercheurs de SentineOne.
L'ensemble d'outils de l'attaquant énumère les informations sur l'environnement de service, quel que soit le fournisseur de services cloud sous-jacent, explique Delamotte. « La seule automatisation que nous avons vue pour Azure ou GCP était liée à la collecte d'informations d'identification. Toute activité de suivi consistera probablement à utiliser le clavier.
Les résultats s'ajoutent aux recherches d'Aqua Security qui ont récemment montré activité malveillante ciblant les API Docker et JupyterLab destinées au public. Les chercheurs d’Aqua ont attribué cette activité – avec un niveau de confiance élevé – à TeamTNT.
Déploiement de vers cloud
Ils ont estimé que l'acteur malveillant préparait un « ver cloud agressif » conçu pour être déployé dans les environnements AWS, dans le but de faciliter le vol d'informations d'identification cloud, le détournement de ressources et le déploiement d'une porte dérobée appelée « Tsunami ».
De même, l'analyse conjointe de SentinelOne et Permiso de l'évolution de la menace a montré qu'en plus des scripts shell des attaques précédentes, TeamTNT propose désormais un binaire ELF basé sur Golang et contenant UPX. Le binaire supprime et exécute un autre script shell pour analyser une plage spécifiée par l'attaquant et se propager à d'autres cibles vulnérables.
Ce mécanisme de propagation du vermifuge recherche les systèmes répondant avec un agent utilisateur de version Docker spécifique, explique Delamotte. Ces instances Docker peuvent être hébergées via Azure ou GCP. « D'autres rapports notent que ces acteurs exploitent les services Jupyter publics, où les mêmes concepts s'appliquent », explique Delamotte, ajoutant qu'elle estime que TeamTNT se contente actuellement de tester ses outils dans l'environnement Azure et GCP plutôt que de chercher à atteindre des objectifs spécifiques sur les utilisateurs concernés. systèmes.
Également sur le front des mouvements latéraux, Sysdig a mis à jour la semaine dernière un rapport publié pour la première fois en décembre, avec de nouveaux détails sur la campagne de vol d'identifiants cloud et de cryptominage ScarletEel ciblant les services AWS et Kubernetes, que SentinelOne et Permiso ont liés à l'activité TeamTNT. Sysdig a déterminé que l'un des principaux objectifs de la campagne est de voler les informations d'identification AWS et de les utiliser pour exploiter davantage l'environnement de la victime en installant des logiciels malveillants, en volant des ressources et en effectuant d'autres activités malveillantes.
Des attaques comme celle contre les environnements AWS signalée par Sysdig impliquent l'utilisation de cadres d'exploitation AWS connus, dont celui appelé Pacu, note Delamotte. Les organisations utilisant Azure et GCP doivent partir du principe que les attaques contre leurs environnements impliqueront des frameworks similaires. Elle préconise que les administrateurs discutent avec leurs équipes rouges pour comprendre quels cadres d'attaque fonctionnent bien contre ces plateformes.
« Pacu est un favori connu de l'équipe rouge pour attaquer AWS », dit-elle. « Nous pouvons nous attendre à ce que ces acteurs adoptent d’autres cadres d’exploitation efficaces. »
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google
- :possède
- :est
- :où
- 24
- 7
- a
- Selon
- atteindre
- d'activités
- activité
- acteurs
- ajouter
- ajoutant
- ajout
- administrateurs
- adopter
- défenseurs
- Après
- à opposer à
- agressif
- alex
- aussi
- Amazon
- Amazon Web Services
- Amazon Web Services (AWS)
- an
- selon une analyse de l’Université de Princeton
- et de
- Une autre
- tous
- apparaît
- Appliquer
- aqua
- SONT
- AS
- évalué
- associé
- assumer
- At
- attaquer
- Attaquer
- Attaques
- Automation
- AWS
- Azure
- détourné
- En gros
- BE
- était
- commencé
- derrière
- croit
- sur mesure
- plus large
- by
- appelé
- Campagne
- Campagnes
- CAN
- capacités
- la réalisation
- le cloud
- cloud Platform
- services de cloud computing
- Collecte
- collection
- Venir
- semaines à venir
- concepts
- confiance
- considérable
- cohérent
- contiennent
- continu
- Core
- pourriez
- CRÉDENTIEL
- Lettres de créance
- Lecture
- données
- Décembre
- livrer
- déployer
- déploiement
- un
- détails
- Déterminer
- déterminé
- développé
- Développement
- Docker
- Drops
- Plus tôt
- elfe
- émerger
- Environment
- environnements
- évolution
- Exécute
- étendu
- attendre
- Exploiter
- exploitation
- exposé
- faciliter
- Favori
- Fichiers
- financièrement
- Trouvez
- résultats
- entreprises
- Prénom
- concentré
- Pour
- cadres
- De
- avant
- fonction
- objectif
- Objectifs
- aller
- Google Cloud
- Google Cloud Platform
- Réservation de groupe
- Récoltes
- Vous avez
- Haute
- Soulignant
- organisé
- Cependant
- HTTPS
- if
- impact
- mis en œuvre
- in
- Y compris
- d'information
- possible
- installer
- développement
- un investissement
- impliquer
- IT
- SES
- joint
- jpg
- juin
- ACTIVITES
- connu
- Nom
- plus tard
- Nouveautés
- moins
- Niveau
- comme
- Probable
- lié
- recherchez-
- LOOKS
- Fabrication
- malware
- mécanisme
- seulement
- modifié
- Module
- Mois
- mois
- PLUS
- motivés
- mouvement
- naissant
- Nouveauté
- nouvellement
- noté
- Notes
- célèbre
- maintenant
- objectifs
- of
- on
- ONE
- uniquement
- or
- Autre
- ande
- plus de
- passé
- plateforme
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- primaire
- Profil
- de voiture.
- publié
- gamme
- plutôt
- récent
- récemment
- Rouge
- reflète
- Indépendamment
- en relation
- rapport
- Signalé
- Rapports
- un article
- chercheur
- chercheurs
- ressource
- Resources
- répondre
- s
- Saïd
- même
- scie
- dit
- balayage
- scripts
- Rechercher
- sur le lien
- séparé
- Série
- service
- Prestataire de services
- Services
- plusieurs
- Partager
- elle
- coquillage
- devrait
- montré
- similaires
- depuis
- sophistiqué
- parler
- groupe de neurones
- les pâtes à tartiner
- réussi
- combustion propre
- Système
- Points clés à retenir
- Target
- ciblage
- objectifs
- équipe
- équipes
- Essais
- que
- qui
- La
- vol
- leur
- Les
- Là.
- Ces
- l'ont
- ceux
- menace
- Avec
- à
- les outils
- Tsunami
- sous-jacent
- comprendre
- a actualisé
- utilisé
- d'utiliser
- en utilisant
- Précieux
- version
- très
- Victime
- Vulnérable
- était
- we
- web
- services Web
- semaine
- Semaines
- WELL
- Quoi
- qui
- tout en
- sera
- comprenant
- activités principales
- ver
- zéphyrnet
