Een geavanceerde campagne voor het stelen van cloudgegevens en cryptomining, gericht op Amazon Web Services (AWS)-omgevingen van de afgelopen maanden, is nu ook uitgebreid naar Azure en Google Cloud Platform (GCP). En de tools die in de campagne worden gebruikt, vertonen aanzienlijke overlap met die van TeamTNT, een beruchte, financieel gemotiveerde bedreigingsacteur, zo hebben onderzoekers vastgesteld.
De bredere targeting lijkt in juni te zijn begonnen, aldus onderzoekers van SentinelEen en Pardon, en is consistent met een voortdurende reeks stapsgewijze verfijningen die de dreigingsactoren achter de campagne eraan hebben aangebracht sinds de reeks aanvallen in december begon.
In afzonderlijke rapporten waarin hun belangrijkste inzichten worden benadrukt, merkten de bedrijven op dat de aanvallen gericht op de clouddiensten van Azure en Google dezelfde kernaanvalscripts omvatten die de dreigingsgroep erachter heeft gebruikt in de AWS-campagne. De mogelijkheden van Azure en GCP staan echter nog in de kinderschoenen en zijn nog minder ontwikkeld dan de AWS-tools, zegt Alex Delamotte, bedreigingsonderzoeker bij SentinelOne.
“De actor heeft de module voor het verzamelen van Azure-referenties alleen geïmplementeerd bij de recentere aanvallen – 24 juni en nieuwer –”, zegt ze. “De ontwikkeling is consistent geweest en we zullen de komende weken waarschijnlijk meer tools zien verschijnen met op maat gemaakte automatiseringen voor deze omgevingen, mocht de aanvaller ze een waardevolle investering vinden.”
Cybercriminelen gaan achter blootgestelde Docker-instanties aan
De TeamTNT-bedreigingsgroep staat bekend om het aanvallen van blootgestelde clouddiensten en gedijt hierop misbruik maken van misconfiguraties en kwetsbaarheden in de cloud. Terwijl TeamTNT zich aanvankelijk richtte op cryptomining-campagnes, heeft het zich recentelijk ook uitgebreid naar activiteiten voor gegevensdiefstal en achterdeurimplementatie, wat de laatste activiteit weerspiegelt.
In die zin is de aanvaller volgens SentinelOne en Permiso sinds vorige maand begonnen zich te richten op blootgestelde Docker-services, met behulp van nieuw aangepaste shell-scripts die zijn ontworpen om de omgeving waarin ze zich bevinden te bepalen, de systemen te profileren, naar inloggegevens te zoeken en te exfiltreren. hen. De scripts bevatten ook een functie voor het verzamelen van details over omgevingsvariabelen, waarschijnlijk gebruikt om te bepalen of er nog andere waardevolle services op het systeem zijn waarop we ons later kunnen richten, aldus SentineOne-onderzoekers.
De toolset van de aanvaller inventariseert informatie over de serviceomgeving, ongeacht de onderliggende cloudserviceprovider, zegt Delamotte. “De enige automatisering die we voor Azure of GCP zagen, had betrekking op het verzamelen van inloggegevens. Elke vervolgactiviteit is waarschijnlijk hands-on-keyboard.”
De bevindingen vormen een aanvulling op het onderzoek van Aqua Security dat onlangs bleek kwaadaardige activiteit gericht op openbare Docker- en JupyterLab-API's. Aqua-onderzoekers schreven de activiteit – met veel vertrouwen – toe aan TeamTNT.
Cloudwormen implementeren
Ze oordeelden dat de dreigingsactor een ‘agressieve cloudworm’ aan het voorbereiden was, ontworpen om te worden ingezet in AWS-omgevingen, met als doel diefstal van cloudgegevens, het kapen van bronnen en de inzet van een achterdeur genaamd ‘Tsunami’ te vergemakkelijken.
Op dezelfde manier toonde SentinelOne en Permiso's gezamenlijke analyse van de zich ontwikkelende dreiging aan dat TeamTNT, naast de shell-scripts van eerdere aanvallen, nu een UPX-gevuld, op Golang gebaseerd ELF-binair bestand levert. Het binaire bestand laat in feite een ander shell-script vallen en voert het uit om een door de aanvaller gespecificeerd bereik te scannen en zich naar andere kwetsbare doelen te verspreiden.
Dit wormpropagatiemechanisme zoekt naar systemen die reageren met een specifieke user-agent van de Docker-versie, zegt Delamotte. Deze Docker-instanties kunnen worden gehost via Azure of GCP. “Andere rapporten merken op dat deze actoren publieke Jupyter-diensten exploiteren, waar dezelfde concepten van toepassing zijn”, zegt Delamotte, eraan toevoegend dat ze gelooft dat TeamTNT momenteel alleen maar zijn tools test in de Azure- en GCP-omgeving, in plaats van te zoeken naar het bereiken van specifieke doelstellingen op de getroffen gebieden. systemen.
Ook op het gebied van de laterale beweging heeft Sysdig vorige week een rapport bijgewerkt dat het voor het eerst in december publiceerde, met nieuwe details van de ScarletEel-campagne voor het stelen van cloudgegevens en cryptomining, gericht op AWS- en Kubernetes-services, die SentinelOne en Permiso hebben gekoppeld aan de TeamTNT-activiteit. Sysdig stelde vast dat een van de belangrijkste doelen van de campagne het stelen van AWS-inloggegevens is en deze daarvoor gebruikt de omgeving van het slachtoffer verder uitbuiten door malware te installeren, bronnen te stelen en andere kwaadaardige activiteiten uit te voeren.
Aanvallen zoals die tegen AWS-omgevingen die Sysdig rapporteerde, maken gebruik van bekende AWS-exploitatieframeworks, waaronder een genaamd Pacu, merkt Delamotte op. Organisaties die Azure en GCP gebruiken, moeten ervan uitgaan dat aanvallen op hun omgeving vergelijkbare raamwerken zullen omvatten. Ze pleit ervoor dat beheerders met hun rode teams praten om te begrijpen welke aanvalsframeworks goed werken tegen deze platforms.
“Pacu is een bekende favoriet van het rode team voor het aanvallen van AWS”, zegt ze. “We kunnen verwachten dat deze actoren andere succesvolle exploitatiekaders zullen adopteren.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google
- : heeft
- :is
- :waar
- 24
- 7
- a
- Volgens
- Bereiken
- activiteiten
- activiteit
- actoren
- toevoegen
- toe te voegen
- toevoeging
- beheerders
- adopteren
- voorstanders
- Na
- tegen
- agressief
- alex
- ook
- Amazone
- Amazon Web Services
- Amazon Web Services (AWS)
- an
- analyse
- en
- Nog een
- elke
- komt naar voren
- Solliciteer
- aqua
- ZIJN
- AS
- geëvalueerd
- geassocieerd
- ervan uitgaan
- At
- aanvallen
- Aanvallen
- Aanvallen
- Automatisering
- AWS
- Azuur
- achterdeur
- Eigenlijk
- BE
- geweest
- begonnen
- achter
- gelooft
- op maat
- bredere
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- Campagne
- Campagnes
- CAN
- mogelijkheden
- vervoer
- Cloud
- Cloud Platform
- cloud-diensten
- Het verzamelen van
- Collectie
- komst
- komende weken
- concepten
- vertrouwen
- aanzienlijk
- consequent
- bevatten
- doorlopend
- Kern
- kon
- IDENTIFICATIE
- Geloofsbrieven
- Op dit moment
- gegevens
- December
- het leveren van
- implementeren
- inzet
- ontworpen
- gegevens
- Bepalen
- vastbesloten
- ontwikkelde
- Ontwikkeling
- havenarbeider
- Drops
- Vroeger
- elf
- te voorschijn komen
- Milieu
- omgevingen
- evoluerende
- Voert uit
- uitgebreid
- verwachten
- Exploiteren
- exploitatie
- blootgestelde
- faciliterende
- Favoriet
- Bestanden
- financieel
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- bevindingen
- bedrijven
- Voornaam*
- gericht
- Voor
- frameworks
- oppompen van
- voor
- functie
- doel
- Doelen
- gaan
- Kopen Google Reviews
- Google Cloud
- Google Cloud Platform
- Groep
- oogst
- Hebben
- Hoge
- markeren
- gehost
- Echter
- HTTPS
- if
- beïnvloed
- geïmplementeerd
- in
- Inclusief
- informatie
- eerste
- installeren
- in
- investering
- betrekken
- IT
- HAAR
- gewricht
- jpg
- juni
- sleutel
- bekend
- Achternaam*
- later
- laatste
- minder
- Niveau
- als
- Waarschijnlijk
- gekoppeld
- op zoek
- LOOKS
- maken
- malware
- mechanisme
- alleen
- gewijzigd
- Module
- Maand
- maanden
- meer
- gemotiveerde
- beweging
- ontluikend
- New
- onlangs
- bekend
- Opmerkingen
- berucht
- nu
- doelstellingen
- of
- on
- EEN
- Slechts
- or
- Overige
- uit
- over
- verleden
- platform
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- primair
- Profiel
- leverancier
- gepubliceerde
- reeks
- liever
- recent
- onlangs
- Rood
- weerspiegelt
- achteloos
- verwant
- verslag
- gemeld
- Rapporten
- onderzoek
- onderzoeker
- onderzoekers
- hulpbron
- Resources
- reageert
- s
- Zei
- dezelfde
- zagen
- zegt
- het scannen
- scripts
- Ontdek
- zien
- apart
- -Series
- service
- Service Provider
- Diensten
- verscheidene
- Delen
- ze
- Shell
- moet
- vertoonde
- gelijk
- sinds
- geraffineerd
- spreken
- specifiek
- Spreads
- geslaagd
- system
- Systems
- Takeaways
- doelwit
- targeting
- doelen
- team
- teams
- Testen
- neem contact
- dat
- De
- diefstal
- hun
- Ze
- Er.
- Deze
- ze
- die
- bedreiging
- Door
- naar
- tools
- Tsunami
- die ten grondslag liggen
- begrijpen
- bijgewerkt
- .
- gebruikt
- gebruik
- waardevol
- versie
- zeer
- Slachtoffer
- Kwetsbaar
- was
- we
- web
- webservices
- week
- weken
- GOED
- Wat
- welke
- en
- wil
- Met
- Mijn werk
- worm
- zephyrnet
