Kampania kradzieży danych uwierzytelniających w chmurze AWS rozprzestrzenia się na platformę Azure i Google Cloud

Zaawansowana kampania dotycząca kradzieży danych uwierzytelniających w chmurze i wydobywania kryptowalut, prowadzona od kilku miesięcy, skierowana do środowisk Amazon Web Services (AWS), została teraz rozszerzona również na platformę Azure i Google Cloud Platform (GCP). Badacze ustalili, że narzędzia użyte w kampanii w znacznym stopniu pokrywają się z narzędziami powiązanymi z TeamTNT, notorycznym ugrupowaniem zagrażającym motywowanym finansowo.

Według badaczy z Strażnik Jeden i Przepraszami jest zgodny z ciągłą serią stopniowych udoskonaleń wprowadzanych przez ugrupowanie zagrażające stojące za tą kampanią od czasu rozpoczęcia serii ataków w grudniu.

W oddzielnych raportach przedstawiających najważniejsze wnioski firmy zauważyły, że ataki wymierzone w Azure i usługi w chmurze Google obejmują te same podstawowe skrypty ataku, których używała stojąca za nimi grupa zagrożeń w kampanii AWS. Jednak możliwości Azure i GCP są bardzo młode i mniej rozwinięte niż narzędzia AWS, mówi Alex Delamotte, badacz zagrożeń w SentinelOne. 

„Aktor zaimplementował moduł gromadzenia danych uwierzytelniających platformy Azure dopiero w nowszych atakach – z 24 czerwca i nowszych –” – mówi. „Rozwój przebiega konsekwentnie i prawdopodobnie w nadchodzących tygodniach pojawi się więcej narzędzi z automatyzacją dostosowaną do potrzeb tych środowisk, jeśli atakujący uzna je za wartościową inwestycję”.

Cyberprzestępcy atakują ujawnione instancje Dockera

Grupa zagrożeń TeamTNT jest dobrze znana z atakowania odsłoniętych usług w chmurze i nadal prosperuje wykorzystywanie błędnych konfiguracji i luk w zabezpieczeniach chmury. Chociaż TeamTNT początkowo skupiało się na kampaniach związanych z wydobywaniem kryptowalut, ostatnio rozszerzyło się również na działania związane z kradzieżą danych i wdrażaniem backdoorów, co odzwierciedla ostatnia aktywność. 

W tym duchu, według SentinelOne i Permiso, od zeszłego miesiąca osoba atakująca zaczęła atakować odsłonięte usługi Docker, używając nowo zmodyfikowanych skryptów powłoki, które zostały zaprojektowane w celu określenia środowiska, w którym się znajdują, profilowania systemów, wyszukiwania plików danych uwierzytelniających i eksfiltracji ich. Skrypty zawierają także funkcję zbierania szczegółów zmiennych środowiskowych, prawdopodobnie wykorzystywaną do ustalenia, czy w systemie znajdują się inne cenne usługi, na które można później zwrócić uwagę – twierdzą badacze SentineOne.

Zestaw narzędzi atakującego wylicza informacje o środowisku usług niezależnie od dostawcy usług w chmurze, mówi Delamotte. „Jedyna automatyzacja, jaką zaobserwowaliśmy w przypadku platformy Azure lub GCP, dotyczyła gromadzenia danych uwierzytelniających. Wszelkie dalsze działania obejmują prawdopodobnie korzystanie z klawiatury”.

Odkrycia uzupełniają wyniki niedawno przeprowadzonego badania Aqua Security złośliwa aktywność skierowana do publicznych interfejsów API Docker i JupyterLab. Badacze Aqua przypisali to działanie – z dużym stopniem pewności – TeamTNT. 

Wdrażanie robaków chmurowych

Ocenili, że podmiot zagrażający przygotowywał „agresywnego robaka chmurowego” zaprojektowanego do wdrożenia w środowiskach AWS w celu ułatwienia kradzieży danych uwierzytelniających w chmurze, przejmowania zasobów i wdrażania backdoora zwanego „Tsunami”.

Podobnie, wspólna analiza ewoluującego zagrożenia przeprowadzona przez SentinelOne i Permiso wykazała, że ​​oprócz skryptów powłoki z wcześniejszych ataków, TeamTNT dostarcza teraz plik binarny ELF oparty na formacie UPX i Golang. Plik binarny zasadniczo upuszcza i wykonuje inny skrypt powłoki w celu przeskanowania zakresu określonego przez atakującego i rozprzestrzeniania się do innych wrażliwych celów.

Ten mechanizm rozprzestrzeniania się robaków wyszukuje systemy odpowiadające za pomocą klienta użytkownika określonej wersji Dockera, mówi Delamotte. Te instancje platformy Docker mogą być hostowane za pośrednictwem platformy Azure lub GCP. „W innych raportach zauważono, że podmioty te wykorzystują publiczne usługi Jupyter, w przypadku których obowiązują te same koncepcje” – mówi Delamotte, dodając, że według niej TeamTNT jedynie testuje swoje narzędzia w środowisku Azure i GCP, zamiast szukać konkretnych celów w obszarach, których to dotyczy. systemy.

Również na froncie ruchu bocznego Sysdig zaktualizował w zeszłym tygodniu raport opublikowany po raz pierwszy w grudniu, dodając nowe szczegóły kampanii kradzieży danych uwierzytelniających i wydobywania kryptowalut w chmurze ScarletEel, której celem są usługi AWS i Kubernetes, które SentinelOne i Permiso powiązały z działalnością TeamTNT. Sysdig ustalił, że jednym z głównych celów kampanii jest kradzież danych uwierzytelniających AWS i wykorzystanie ich dalej wykorzystywać środowisko ofiary instalując złośliwe oprogramowanie, kradnąc zasoby i wykonując inne szkodliwe działania. 

Ataki takie jak ten na środowiska AWS zgłoszone przez Sysdig obejmują wykorzystanie znanych platform eksploitacji AWS, w tym jednego o nazwie Pacu, zauważa Delamotte. Organizacje korzystające z Azure i GCP powinny założyć, że ataki na ich środowiska będą obejmować podobne struktury. Zaleca, aby administratorzy rozmawiali ze swoimi czerwonymi zespołami, aby dowiedzieć się, jakie struktury ataków sprawdzają się dobrze w przypadku tych platform. 

„Pacu jest znanym faworytem drużyny czerwonych do ataków na AWS” – mówi. „Możemy oczekiwać, że ci aktorzy przyjmą inne skuteczne ramy eksploatacji”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google