מסע פרסום לגניבת אישורי AWS Cloud מתפשט ל-Azure, Google Cloud

מסע פרסום לגניבת אישורי AWS Cloud מתפשט ל-Azure, Google Cloud

חותמת זמן: 17 ביולי 2023 1:57
קמפיין גניבת אישורי ענן של AWS מתפשט ל-Azure, Google Cloud PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

מסע פרסום מתוחכם של גניבת אישורי ענן והצפנה המתמקד בסביבות שירותי אינטרנט של אמזון (AWS) בחודשים האחרונים, התרחב כעת גם ל-Azure ו-Google Cloud Platform (GCP). והכלים המשמשים בקמפיין חולקים חפיפה ניכרת עם אלה הקשורים ל-TeamTNT, שחקן איומים ידוע לשמצה, בעל מוטיבציה כלכלית, קבעו החוקרים.

נראה שהמיקוד הרחב יותר החל ביוני, לפי חוקרים ב SentinelOne ו סלח לי, ועולה בקנה אחד עם סדרה מתמשכת של חידודים מצטברים ששחקן האיום שמאחורי הקמפיין מפעיל עליו מאז החלה סדרת התקיפות בדצמבר.

בדוחות נפרדים המדגישים את הנקודות העיקריות שלהם, החברות ציינו שההתקפות המכוונות ל-Azure ושירותי הענן של גוגל כרוכות באותם תסריטי תקיפה הליבה שבהם השתמשה קבוצת האיומים מאחוריה בקמפיין AWS. עם זאת, יכולות ה-Azure וה-GCP הן בתחילת דרכן ופחות מפותחות מהכלים של AWS, אומר אלכס דלמוטה, חוקר איומים ב-SentinelOne. 

"השחקן יישם את מודול איסוף האישורים של Azure רק בהתקפות האחרונות - 24 ביוני ואילך -", היא אומרת. "הפיתוח היה עקבי, וסביר להניח שנראה כלים נוספים צצים במהלך השבועות הקרובים עם אוטומציות מותאמות עבור סביבות אלה, אם התוקף ימצא בהם השקעה רבת ערך."

פושעי סייבר הולכים אחרי מופעי Docker חשופים

קבוצת האיומים TeamTNT ידועה במיקוד לשירותי ענן חשופים ומשגשגת ניצול תצורות ונקודות תורפה של ענן שגויות. בעוד TeamTNT התמקדה בתחילה בקמפיינים להצפנה, היא התרחבה לאחרונה גם לפעילויות גניבת נתונים ופריסה בדלת אחורית, מה שהפעילות האחרונה משקפת. 

מהבחינה הזו, לפי SentinelOne ו-Permiso, התוקף החל לכוון לשירותי Docker חשופים החל מהחודש שעבר, תוך שימוש בסקריפטים של מעטפת ששונו לאחרונה שנועדו לקבוע באיזו סביבה הם נמצאים, ליצור פרופיל של המערכות, לחפש קבצי אישורים ולחלץ. אוֹתָם. הסקריפטים מכילים גם פונקציה לאיסוף פרטים של משתני סביבה, ככל הנראה משמשת כדי לקבוע אם ישנם שירותים בעלי ערך אחרים במערכת למטרות מאוחר יותר, אמרו חוקרי SentineOne.

ערכת הכלים של התוקף מונה מידע על סביבת השירות ללא קשר לספק שירותי הענן הבסיסי, אומר Delamotte. "האוטומציה היחידה שראינו עבור Azure או GCP הייתה קשורה לקצירת אישורים. כל פעילות המשך היא ככל הנראה מעשית על מקלדת."

הממצאים מוסיפים למחקר של Aqua Security שהראה לאחרונה פעילות זדונית המכוונת לציבור ממשקי API של Docker ו-JupyterLab. חוקרי אקווה ייחסו את הפעילות - ברמת ביטחון גבוהה - ל-TeamTNT. 

פריסת תולעי ענן

הם העריכו ששחקן האיום מכין "תולעת ענן אגרסיבית" שנועדה לפרוס בסביבות AWS, במטרה לאפשר גניבת אישורי ענן, חטיפת משאבים ופריסה של דלת אחורית בשם "צונאמי".

באופן דומה, הניתוח המשותף של SentinelOne ו-Permiso של האיום המתפתח הראה שבנוסף לתסריטי המעטפת מהתקפות קודמות, TeamTNT מספקת כעת ELF בינארי עמוס ב-UPX, מבוסס גולנג. הבינארי בעצם נופל ומפעיל סקריפט פגז נוסף לסריקת טווח שצוין על ידי תוקף והתפשטות למטרות פגיעות אחרות.

מנגנון הפצת התולעים הזה מחפש מערכות המגיבות עם סוכן משתמש ספציפי בגרסת Docker, אומר Delamotte. מופעי Docker אלה יכולים להתארח דרך Azure או GCP. "דיווחים אחרים מציינים ששחקנים אלה מנצלים את שירותי Jupyter הפונה לציבור, שבהם אותם מושגים חלים", אומרת דלמוטה, ומוסיפה כי היא מאמינה ש-TeamTNT כרגע רק בוחנת את הכלים שלה בסביבת Azure ו-GCP במקום לחפש להשיג יעדים ספציפיים על המושפעים. מערכות.

גם בחזית התנועה הצידית, Sysdig עדכנה בשבוע שעבר דוח שפרסמה לראשונה בדצמבר, עם פרטים חדשים על גניבת אישורי הענן של ScarletEel וקמפיין קריפטומין המכוון לשירותי AWS ו- Kubernetes, ש-SentinelOne ו-Permiso קישרו לפעילות TeamTNT. Sysdig קבעה שאחת המטרות העיקריות של הקמפיין היא לגנוב אישורי AWS ולהשתמש בהם כדי לנצל עוד יותר את סביבתו של הקורבן על ידי התקנת תוכנות זדוניות, גניבת משאבים וביצוע פעילויות זדוניות אחרות. 

התקפות כמו זו נגד סביבות AWS שעליהן דיווחה Sysdig כוללות שימוש במסגרות ניצול ידועות של AWS, כולל אחת שנקראת Pacu, מציין Delamotte. ארגונים המשתמשים ב-Azure וב-GCP צריכים להניח שהתקפות נגד הסביבות שלהם יכללו מסגרות דומות. היא דוגלת שמנהלי מערכת ידברו עם הצוותים האדומים שלהם כדי להבין אילו מסגרות תקיפה פועלות היטב מול הפלטפורמות הללו. 

"פאקו היא מועדפת ידועה של הקבוצה האדומה לתקיפת AWS", היא אומרת. "אנחנו יכולים לצפות שהשחקנים האלה יאמצו מסגרות ניצול מוצלחות אחרות".

בול זמן:

עוד מ קריאה אפלה