Kampanye Pencurian Kredensial AWS Cloud Menyebar ke Azure, Google Cloud

Kampanye pencurian kredensial cloud dan penambangan kripto yang canggih yang menargetkan lingkungan Amazon Web Services (AWS) selama beberapa bulan terakhir kini telah diperluas ke Azure dan Google Cloud Platform (GCP) juga. Dan, alat yang digunakan dalam kampanye ini memiliki banyak kesamaan dengan alat yang terkait dengan TeamTNT, aktor ancaman yang terkenal kejam dan bermotivasi finansial, menurut para peneliti.

Penargetan yang lebih luas tampaknya telah dimulai pada bulan Juni, menurut para peneliti di SentinelSatu dan Permisi, dan konsisten dengan serangkaian perbaikan bertahap yang dilakukan oleh pelaku ancaman di balik kampanye ini sejak serangkaian serangan dimulai pada bulan Desember.

Dalam laporan terpisah yang menyoroti temuan utama mereka, perusahaan-perusahaan tersebut mencatat bahwa serangan yang menargetkan Azure dan layanan cloud Google melibatkan skrip serangan inti yang sama dengan yang digunakan oleh kelompok ancaman di balik serangan tersebut dalam kampanye AWS. Namun, kemampuan Azure dan GCP masih sangat baru dan kurang berkembang dibandingkan alat AWS, kata Alex Delamotte, peneliti ancaman di SentinelOne. 

“Aktor hanya mengimplementasikan modul pengumpulan kredensial Azure pada serangan yang lebih baru – 24 Juni dan yang lebih baru –,” katanya. “Perkembangannya konsisten, dan kemungkinan besar kita akan melihat lebih banyak alat yang muncul dalam beberapa minggu mendatang dengan otomatisasi khusus untuk lingkungan ini, jika penyerang menganggapnya sebagai investasi yang berharga.”

Penjahat Dunia Maya Mengincar Instans Docker yang Terkena

Kelompok ancaman TeamTNT terkenal karena menargetkan layanan cloud yang terekspos dan terus berkembang mengeksploitasi kesalahan konfigurasi dan kerentanan cloud. Meskipun TeamTNT pada awalnya berfokus pada kampanye penambangan kripto, baru-baru ini TeamTNT berkembang menjadi pencurian data dan aktivitas penerapan pintu belakang, yang tercermin dalam aktivitas terbaru ini. 

Oleh karena itu, menurut SentinelOne dan Permiso, penyerang telah mulai menargetkan layanan Docker yang terekspos pada bulan lalu, menggunakan skrip shell yang baru dimodifikasi yang dirancang untuk menentukan lingkungan tempat mereka berada, membuat profil sistem, mencari file kredensial, dan mengeksfiltrasi mereka. Skrip tersebut juga berisi fungsi untuk mengumpulkan rincian variabel lingkungan, kemungkinan digunakan untuk menentukan apakah ada layanan berharga lainnya pada sistem yang akan ditargetkan nanti, kata peneliti SentineOne.

Perangkat penyerang menghitung informasi lingkungan layanan terlepas dari penyedia layanan cloud yang mendasarinya, kata Delamotte. “Satu-satunya otomatisasi yang kami lihat untuk Azure atau GCP terkait dengan pengumpulan kredensial. Aktivitas lanjutan apa pun kemungkinan besar dilakukan secara langsung.”

Temuan tersebut menambah penelitian dari Aqua Security yang baru-baru ini menunjukkan aktivitas jahat yang menargetkan API Docker dan JupyterLab yang dapat dilihat publik. Peneliti Aqua menghubungkan aktivitas tersebut – dengan tingkat kepercayaan yang tinggi – dengan TeamTNT. 

Menyebarkan Cloud Worm

Mereka menilai pelaku ancaman sedang mempersiapkan “cloud worm agresif” yang dirancang untuk diterapkan di lingkungan AWS, dengan tujuan memfasilitasi pencurian kredensial cloud, pembajakan sumber daya, dan penerapan pintu belakang yang disebut “Tsunami.”

Demikian pula, analisis gabungan SentinelOne dan Permiso terhadap ancaman yang berkembang menunjukkan bahwa selain skrip shell dari serangan sebelumnya, TeamTNT kini menghadirkan biner ELF berbasis Golang yang dikemas dengan UPX. Biner pada dasarnya menjatuhkan dan mengeksekusi skrip shell lain untuk memindai rentang yang ditentukan penyerang dan menyebarkannya ke target rentan lainnya.

Mekanisme penyebaran worm ini mencari sistem yang merespons dengan agen pengguna versi Docker tertentu, kata Delamotte. Instance Docker ini dapat dihosting melalui Azure atau GCP. “Laporan lain mencatat bahwa para pelaku ini mengeksploitasi layanan Jupyter yang dapat diakses oleh publik, dan konsep yang sama juga berlaku,” kata Delamotte, seraya menambahkan bahwa ia yakin bahwa TeamTNT saat ini hanya menguji alatnya di lingkungan Azure dan GCP daripada berupaya mencapai tujuan spesifik pada perusahaan yang terkena dampak. sistem.

Juga di bidang pergerakan lateral, Sysdig minggu lalu memperbarui laporan yang pertama kali diterbitkan pada bulan Desember, dengan rincian baru dari kampanye pencurian kredensial cloud ScarletEel dan penambangan kripto yang menargetkan layanan AWS dan Kubernetes, yang telah ditautkan oleh SentinelOne dan Permiso ke aktivitas TeamTNT. Sysdig menetapkan bahwa salah satu tujuan utama kampanye ini adalah mencuri kredensial AWS dan menggunakannya untuk tujuan tersebut mengeksploitasi lebih lanjut lingkungan korban dengan memasang malware, mencuri sumber daya, dan melakukan aktivitas berbahaya lainnya. 

Serangan seperti yang terjadi terhadap lingkungan AWS yang dilaporkan Sysdig melibatkan penggunaan kerangka kerja eksploitasi AWS yang dikenal, termasuk yang disebut Pacu, catat Delamotte. Organisasi yang menggunakan Azure dan GCP harus berasumsi bahwa serangan terhadap lingkungannya akan melibatkan kerangka kerja serupa. Dia menganjurkan agar administrator berbicara dengan tim merah mereka untuk memahami kerangka serangan apa yang bekerja dengan baik terhadap platform ini. 

“Pacu dikenal sebagai favorit tim merah untuk menyerang AWS,” katanya. “Kami berharap para pelaku ini akan mengadopsi kerangka eksploitasi lain yang berhasil.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google