Campanha de roubo de credenciais da Nuvem AWS se espalha para Azure e Google Cloud

Uma sofisticada campanha de roubo de credenciais de nuvem e criptografia visando ambientes Amazon Web Services (AWS) nos últimos meses também se expandiu para Azure e Google Cloud Platform (GCP). E as ferramentas usadas na campanha compartilham uma sobreposição considerável com aquelas associadas ao TeamTNT, um notório ator de ameaças com motivação financeira, determinaram os pesquisadores.

A segmentação mais ampla parece ter começado em junho, de acordo com pesquisadores da Sentinela Um e Desculpe, e é consistente com uma série contínua de refinamentos incrementais que o agente da ameaça por trás da campanha vem fazendo desde que a série de ataques começou em dezembro.

Em relatórios separados destacando as suas principais conclusões, as empresas observaram que os ataques direcionados ao Azure e aos serviços em nuvem do Google envolvem os mesmos scripts de ataque principais que o grupo de ameaças por trás deles tem usado na campanha AWS. No entanto, os recursos do Azure e do GCP são muito incipientes e menos desenvolvidos do que as ferramentas da AWS, diz Alex Delamotte, pesquisador de ameaças da SentinelOne. 

“O ator implementou o módulo de coleta de credenciais do Azure apenas nos ataques mais recentes – 24 de junho e mais recentes”, diz ela. “O desenvolvimento tem sido consistente e provavelmente veremos mais ferramentas surgindo nas próximas semanas com automações personalizadas para esses ambientes, caso o invasor considere que são um investimento valioso.”

Cibercriminosos perseguindo instâncias expostas do Docker

O grupo de ameaças TeamTNT é bem conhecido por ter como alvo serviços de nuvem expostos e prospera em explorando configurações incorretas e vulnerabilidades da nuvem. Embora a TeamTNT inicialmente tenha se concentrado em campanhas de criptomineração, mais recentemente ela se expandiu também para roubo de dados e atividades de implantação de backdoor, o que reflete a atividade mais recente. 

Nesse sentido, de acordo com SentinelOne e Permiso, o invasor começou a visar serviços Docker expostos a partir do mês passado, usando scripts de shell recém-modificados que são projetados para determinar o ambiente em que estão, traçar o perfil dos sistemas, procurar arquivos de credenciais e exfiltrar eles. Os scripts também contêm uma função para coletar detalhes de variáveis ​​de ambiente, provavelmente usadas para determinar se há outros serviços valiosos no sistema para serem direcionados posteriormente, disseram os pesquisadores do SentineOne.

O conjunto de ferramentas do invasor enumera informações do ambiente de serviço, independentemente do provedor de serviços de nuvem subjacente, diz Delamotte. “A única automação que vimos para Azure ou GCP estava relacionada à coleta de credenciais. Qualquer atividade subsequente provavelmente será prática no teclado.”

As descobertas se somam à pesquisa da Aqua Security que recentemente mostrou atividade maliciosa direcionada às APIs públicas do Docker e do JupyterLab. Os pesquisadores da Aqua atribuíram a atividade – com alto nível de confiança – ao TeamTNT. 

Implantando Cloud Worms

Eles avaliaram que o agente da ameaça estava preparando um “worm de nuvem agressivo” projetado para implantação em ambientes AWS, com o objetivo de facilitar o roubo de credenciais de nuvem, o sequestro de recursos e a implantação de um backdoor chamado “Tsunami”.

Da mesma forma, a análise conjunta da SentinelOne e da Permiso sobre a ameaça em evolução mostrou que, além dos scripts de shell de ataques anteriores, a TeamTNT agora está entregando um binário ELF baseado em Golang e empacotado em UPX. O binário basicamente descarta e executa outro script de shell para verificar um intervalo especificado pelo invasor e propagar para outros alvos vulneráveis.

Este mecanismo de propagação de worming procura sistemas que respondem com um agente de usuário específico da versão Docker, diz Delamotte. Essas instâncias do Docker podem ser hospedadas no Azure ou no GCP. “Outros relatórios observam que esses atores exploram serviços Jupyter voltados ao público, onde os mesmos conceitos se aplicam”, diz Delamotte, acrescentando que ela acredita que a TeamTNT está atualmente apenas testando suas ferramentas no ambiente Azure e GCP, em vez de procurar atingir objetivos específicos nos impactados. sistemas.

Também na frente do movimento lateral, a Sysdig atualizou na semana passada um relatório publicado pela primeira vez em dezembro, com novos detalhes da campanha de roubo de credenciais e criptografia da nuvem ScarletEel visando serviços AWS e Kubernetes, que SentinelOne e Permiso vincularam à atividade TeamTNT. Sysdig determinou que um dos principais objetivos da campanha é roubar credenciais da AWS e usá-las para explorar ainda mais o ambiente da vítima instalando malware, roubando recursos e realizando outras atividades maliciosas. 

Ataques como aquele contra ambientes AWS relatados pela Sysdig envolvem o uso de estruturas de exploração conhecidas da AWS, incluindo uma chamada Pacu, observa Delamotte. As organizações que utilizam o Azure e o GCP devem assumir que os ataques contra os seus ambientes envolverão estruturas semelhantes. Ela defende que os administradores conversem com suas equipes vermelhas para entender quais estruturas de ataque funcionam bem contra essas plataformas. 

“Pacu é um conhecido favorito do time vermelho para atacar a AWS”, diz ela. “Podemos esperar que estes intervenientes adoptem outros quadros de exploração bem-sucedidos.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google