La campagna per il furto delle credenziali del cloud AWS si diffonde su Azure e Google Cloud

La campagna per il furto delle credenziali del cloud AWS si diffonde su Azure e Google Cloud

Timestamp: 17 luglio 2023 1:57
La campagna per il furto delle credenziali del cloud AWS si diffonde su Azure e Google Cloud PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.

Una sofisticata campagna di furto di credenziali cloud e cryptomining mirata negli ultimi mesi agli ambienti Amazon Web Services (AWS) si è ora estesa anche ad Azure e Google Cloud Platform (GCP). Inoltre, come hanno determinato i ricercatori, gli strumenti utilizzati nella campagna condividono una notevole sovrapposizione con quelli associati a TeamTNT, un noto attore di minacce motivato finanziariamente.

Il targeting più ampio sembra essere iniziato a giugno, secondo i ricercatori di Sentinella Uno ed Mi scusi, ed è coerente con una serie continua di miglioramenti incrementali apportati dall'autore della minaccia dietro la campagna da quando la serie di attacchi è iniziata a dicembre.

In rapporti separati che evidenziano i loro punti chiave, le aziende hanno notato che gli attacchi contro Azure e i servizi cloud di Google coinvolgono gli stessi script di attacco principali che il gruppo di minacce dietro di esso ha utilizzato nella campagna AWS. Tuttavia, le funzionalità di Azure e GCP sono ancora nascenti e meno sviluppate rispetto agli strumenti AWS, afferma Alex Delamotte, ricercatore sulle minacce presso SentinelOne. 

"L'attore ha implementato il modulo di raccolta credenziali di Azure solo negli attacchi più recenti, quelli del 24 giugno e successivi", afferma. "Lo sviluppo è stato coerente e probabilmente nelle prossime settimane vedremo emergere altri strumenti con automazioni su misura per questi ambienti, nel caso in cui l'aggressore li ritenesse un investimento prezioso."

I criminali informatici danno la caccia alle istanze Docker esposte

Il gruppo di minacce TeamTNT è ben noto per aver preso di mira i servizi cloud esposti e continua a prosperare sfruttare le configurazioni errate e le vulnerabilità del cloud. Sebbene TeamTNT inizialmente si concentrasse sulle campagne di cryptomining, più recentemente si è espanso anche verso attività di furto di dati e distribuzione di backdoor, come riflette l'ultima attività. 

In questo senso, secondo SentinelOne e Permiso, l'aggressore ha iniziato a prendere di mira i servizi Docker esposti a partire dal mese scorso, utilizzando script di shell appena modificati progettati per determinare l'ambiente in cui si trovano, profilare i sistemi, cercare file di credenziali ed esfiltrare loro. Gli script contengono anche una funzione per raccogliere dettagli sulle variabili di ambiente, probabilmente utilizzati per determinare se ci sono altri servizi preziosi sul sistema da prendere di mira in seguito, hanno detto i ricercatori di SentineOne.

Il set di strumenti dell'aggressore enumera le informazioni sull'ambiente di servizio indipendentemente dal fornitore di servizi cloud sottostante, afferma Delamotte. "L'unica automazione che abbiamo riscontrato per Azure o GCP era relativa alla raccolta delle credenziali. Qualsiasi attività successiva è probabilmente eseguita manualmente sulla tastiera.

I risultati si aggiungono alla ricerca di Aqua Security recentemente mostrata attività dannose rivolte alle API Docker e JupyterLab rivolte al pubblico. I ricercatori di Aqua hanno attribuito l’attività, con un alto livello di sicurezza, al TeamTNT. 

Distribuzione di cloud worm

Hanno valutato che l'autore della minaccia stava preparando un "worm cloud aggressivo" progettato per essere distribuito negli ambienti AWS, con l'obiettivo di facilitare il furto di credenziali cloud, il dirottamento delle risorse e l'implementazione di una backdoor chiamata "Tsunami".

Allo stesso modo, l'analisi congiunta di SentinelOne e Permiso sulla minaccia in evoluzione ha mostrato che oltre agli script di shell degli attacchi precedenti, TeamTNT sta ora fornendo un binario ELF basato su Golang e ricco di UPX. Il binario sostanzialmente rilascia ed esegue un altro script di shell per scansionare un intervallo specificato dall'aggressore e propagarsi ad altri obiettivi vulnerabili.

Questo meccanismo di propagazione del worm cerca i sistemi che rispondono con uno specifico user-agent della versione Docker, afferma Delamotte. Queste istanze Docker potrebbero essere ospitate tramite Azure o GCP. "Altri rapporti sottolineano che questi attori sfruttano i servizi Jupyter rivolti al pubblico, dove si applicano gli stessi concetti", afferma Delamotte, aggiungendo che ritiene che TeamTNT al momento stia semplicemente testando i suoi strumenti in ambiente Azure e GCP piuttosto che cercare di raggiungere obiettivi specifici sui paesi interessati. sistemi.

Sempre sul fronte del movimento laterale, Sysdig la scorsa settimana ha aggiornato un rapporto pubblicato per la prima volta a dicembre, con nuovi dettagli sulla campagna di furto di credenziali cloud e cryptomining di ScarletEel rivolta ai servizi AWS e Kubernetes, che SentinelOne e Permiso hanno collegato all'attività di TeamTNT. Sysdig ha stabilito che uno degli obiettivi principali della campagna è rubare le credenziali AWS e utilizzarle sfruttare ulteriormente l'ambiente della vittima installando malware, rubando risorse ed eseguendo altre attività dannose. 

Attacchi come quello contro gli ambienti AWS segnalato da Sysdig implicano l'uso di noti framework di sfruttamento AWS, incluso uno chiamato Pacu, osserva Delamotte. Le organizzazioni che utilizzano Azure e GCP dovrebbero presupporre che gli attacchi contro i propri ambienti coinvolgeranno framework simili. Sostiene che gli amministratori parlino con i loro team rossi per capire quali strutture di attacco funzionano bene contro queste piattaforme. 

"Pacu è noto come uno dei favoriti della squadra rossa per attaccare AWS", afferma. “Possiamo aspettarci che questi attori adottino altri quadri di sfruttamento di successo”.

Timestamp:

Di più da Lettura oscura