AWS क्लाउड क्रेडेंशियल चोरी अभियान Azure, Google क्लाउड तक फैल गया

AWS क्लाउड क्रेडेंशियल चोरी अभियान Azure, Google क्लाउड तक फैल गया

समय टिकट: 17 जुलाई, 2023 1:57 अपराह्न
AWS क्लाउड क्रेडेंशियल चोरी अभियान Azure, Google क्लाउड प्लेटोब्लॉकचेन डेटा इंटेलिजेंस तक फैल गया। लंबवत खोज. ऐ.

पिछले कई महीनों से अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस) वातावरण को लक्षित करने वाला एक परिष्कृत क्लाउड-क्रेडेंशियल चोरी और क्रिप्टोमाइनिंग अभियान अब एज़्योर और Google क्लाउड प्लेटफ़ॉर्म (जीसीपी) तक भी विस्तारित हो गया है। और, शोधकर्ताओं ने निर्धारित किया है कि अभियान में उपयोग किए गए उपकरण टीमटीएनटी से जुड़े लोगों के साथ काफी ओवरलैप साझा करते हैं, जो एक कुख्यात, वित्तीय रूप से प्रेरित खतरा अभिनेता है।

शोधकर्ताओं के अनुसार, ऐसा प्रतीत होता है कि व्यापक लक्ष्यीकरण जून में शुरू हो गया है प्रहरी और क्षमा कीजिय, और दिसंबर में हमलों की श्रृंखला शुरू होने के बाद से अभियान के पीछे धमकी देने वाले अभिनेता द्वारा किए जा रहे वृद्धिशील परिशोधन की एक सतत श्रृंखला के अनुरूप है।

अलग-अलग रिपोर्टों में उनके मुख्य निष्कर्षों पर प्रकाश डालते हुए, फर्मों ने नोट किया कि एज़्योर और Google की क्लाउड सेवाओं को लक्षित करने वाले हमलों में वही मुख्य हमला स्क्रिप्ट शामिल हैं जो इसके पीछे खतरा समूह एडब्ल्यूएस अभियान में उपयोग कर रहा है। हालाँकि, सेंटिनलवन के खतरे के शोधकर्ता एलेक्स डेलामोटे कहते हैं, एज़्योर और जीसीपी क्षमताएं एडब्ल्यूएस टूलींग की तुलना में बहुत नवजात और कम विकसित हैं। 

वह कहती हैं, "अभिनेता ने केवल हालिया - 24 जून और नए - हमलों में एज़्योर क्रेडेंशियल कलेक्शन मॉड्यूल लागू किया।" "विकास सुसंगत रहा है, और हम आने वाले हफ्तों में इन वातावरणों के लिए अनुकूलित ऑटोमेशन के साथ और अधिक उपकरण उभरने की संभावना देखेंगे, अगर हमलावर को यह एक मूल्यवान निवेश लगता है।"

साइबर अपराधी उजागर डॉकर उदाहरणों के पीछे जा रहे हैं

TeamTNT खतरा समूह उजागर क्लाउड सेवाओं को लक्षित करने के लिए जाना जाता है और फलता-फूलता है क्लाउड गलत कॉन्फ़िगरेशन और कमजोरियों का फायदा उठाना. जबकि टीमटीएनटी ने शुरुआत में क्रिप्टोमाइनिंग अभियानों पर ध्यान केंद्रित किया था, हाल ही में इसका विस्तार डेटा चोरी और पिछले दरवाजे परिनियोजन गतिविधियों में भी हुआ है, जो नवीनतम गतिविधि को दर्शाता है। 

उस नस में, सेंटिनलवन और पर्मिसो के अनुसार, हमलावर ने पिछले महीने से उजागर डॉकर सेवाओं को लक्षित करना शुरू कर दिया है, नए संशोधित शेल स्क्रिप्ट का उपयोग करके जो कि वे जिस वातावरण में हैं उसे निर्धारित करने, सिस्टम को प्रोफाइल करने, क्रेडेंशियल फ़ाइलों की खोज करने और घुसपैठ करने के लिए इंजीनियर किए गए हैं। उन्हें। सेंटाइनवन शोधकर्ताओं ने कहा कि स्क्रिप्ट में पर्यावरण परिवर्तनीय विवरण एकत्र करने के लिए एक फ़ंक्शन भी शामिल है, जिसका उपयोग संभवतः यह निर्धारित करने के लिए किया जाता है कि सिस्टम पर बाद में लक्षित करने के लिए कोई अन्य मूल्यवान सेवाएं हैं या नहीं।

डेलमोटे का कहना है कि हमलावर का टूलसेट अंतर्निहित क्लाउड सेवा प्रदाता की परवाह किए बिना सेवा पर्यावरण की जानकारी की गणना करता है। “एज़्योर या जीसीपी के लिए हमने जो एकमात्र स्वचालन देखा वह क्रेडेंशियल हार्वेस्टिंग से संबंधित था। कोई भी अनुवर्ती गतिविधि संभवतः कीबोर्ड पर आधारित होती है।"

ये निष्कर्ष हाल ही में दिखाए गए एक्वा सिक्योरिटी के शोध से जुड़ते हैं सार्वजनिक-सामना करने वाले डॉकर और ज्यूपिटरलैब एपीआई को लक्षित करने वाली दुर्भावनापूर्ण गतिविधि. एक्वा शोधकर्ताओं ने उच्च स्तर के आत्मविश्वास के साथ इस गतिविधि का श्रेय टीमटीएनटी को दिया। 

क्लाउड वर्म की तैनाती

उन्होंने मूल्यांकन किया कि खतरा पैदा करने वाला एक "आक्रामक क्लाउड वर्म" तैयार कर रहा था, जिसे AWS वातावरण में तैनात करने के लिए डिज़ाइन किया गया था, जिसका लक्ष्य क्लाउड क्रेडेंशियल्स की चोरी, संसाधन अपहरण और "सुनामी" नामक पिछले दरवाजे की तैनाती को सुविधाजनक बनाना था।

इसी तरह, सेंटिनलवन और पर्मिसो के उभरते खतरे के संयुक्त विश्लेषण से पता चला है कि पहले के हमलों से शेल स्क्रिप्ट के अलावा, टीमटीएनटी अब एक यूपीएक्स-पैक, गोलांग-आधारित ईएलएफ बाइनरी वितरित कर रहा है। बाइनरी मूल रूप से हमलावर-निर्दिष्ट सीमा को स्कैन करने और अन्य कमजोर लक्ष्यों तक प्रचार करने के लिए एक और शेल स्क्रिप्ट को छोड़ती है और निष्पादित करती है।

डेलामोटे कहते हैं, यह कृमि प्रसार तंत्र एक विशिष्ट डॉकर संस्करण उपयोगकर्ता-एजेंट के साथ प्रतिक्रिया करने वाले सिस्टम की तलाश करता है। इन डॉकर उदाहरणों को Azure या GCP के माध्यम से होस्ट किया जा सकता है। "अन्य रिपोर्टों से पता चलता है कि ये कलाकार सार्वजनिक-सामना वाली ज्यूपिटर सेवाओं का शोषण करते हैं, जहां समान अवधारणाएं लागू होती हैं," डेलमोटे कहती हैं, उनका मानना ​​​​है कि टीमटीएनटी वर्तमान में केवल एज़्योर और जीसीपी वातावरण में अपने उपकरणों का परीक्षण कर रही है, न कि प्रभावित क्षेत्रों पर विशिष्ट उद्देश्यों को प्राप्त करने के लिए। सिस्टम.

पार्श्व आंदोलन के मोर्चे पर भी, Sysdig ने पिछले हफ्ते दिसंबर में पहली बार प्रकाशित एक रिपोर्ट को अपडेट किया था, जिसमें AWS और Kubernetes सेवाओं को लक्षित करने वाले स्कार्लेटईल क्लाउड क्रेडेंशियल चोरी और क्रिप्टोमाइनिंग अभियान के नए विवरण थे, जिसे सेंटिनलवन और पर्मिसो ने TeamTNT गतिविधि से जोड़ा है। Sysdig ने निर्धारित किया कि अभियान का प्राथमिक लक्ष्य AWS क्रेडेंशियल्स को चुराना और उनका उपयोग करना है पीड़ित के वातावरण का और अधिक शोषण करें मैलवेयर इंस्टॉल करके, संसाधनों की चोरी करके और अन्य दुर्भावनापूर्ण गतिविधियों को अंजाम देकर। 

Sysdig द्वारा रिपोर्ट किए गए AWS परिवेशों के विरुद्ध हमलों में ज्ञात AWS शोषण ढाँचों का उपयोग शामिल है, जिनमें Pacu, Delamote नोट्स नामक एक ढाँचा भी शामिल है। Azure और GCP का उपयोग करने वाले संगठनों को यह मान लेना चाहिए कि उनके वातावरण के विरुद्ध हमलों में समान रूपरेखाएँ शामिल होंगी। वह इस बात की वकालत करती हैं कि प्रशासक अपनी रेड टीमों से बात करें ताकि यह समझ सकें कि इन प्लेटफार्मों के खिलाफ कौन से हमले के ढांचे अच्छे से काम करते हैं। 

वह कहती हैं, ''एडब्ल्यूएस पर हमला करने के लिए पाकू एक पसंदीदा रेड टीम है।'' "हम उम्मीद कर सकते हैं कि ये अभिनेता अन्य सफल शोषण ढाँचे अपनाएँगे।"

समय टिकट:

से अधिक डार्क रीडिंग