Кампания по краже учетных данных AWS Cloud распространяется на Azure и Google Cloud

Сложная кампания по краже облачных учетных данных и майнингу криптовалют, нацеленная на среды Amazon Web Services (AWS), проводившаяся в течение последних нескольких месяцев, теперь распространилась и на Azure и Google Cloud Platform (GCP). Исследователи установили, что инструменты, использованные в кампании, во многом совпадают с инструментами, связанными с TeamTNT, печально известным и финансово мотивированным злоумышленником.

По данным исследователей из SentinelOne и Прошу прощенияи соответствует непрерывной серии дополнительных усовершенствований, которые вносил в нее злоумышленник, стоящий за кампанией, с момента начала серии атак в декабре.

В отдельных отчетах, в которых подчеркиваются основные выводы, компании отметили, что атаки, нацеленные на Azure и облачные сервисы Google, включают в себя те же основные сценарии атак, которые стоящая за ними группа угроз использовала в кампании AWS. Однако возможности Azure и GCP еще только зарождаются и менее развиты, чем инструменты AWS, говорит Алекс Деламотт, исследователь угроз в SentinelOne. 

«Злоумышленник реализовал модуль сбора учетных данных Azure только в последних атаках — от 24 июня и позже», — говорит она. «Разработка ведется последовательно, и, вероятно, в ближайшие недели мы увидим появление новых инструментов со специальной автоматизацией для этих сред, если злоумышленник сочтет их ценной инвестицией».

Киберпреступники преследуют открытые экземпляры Docker

Группа угроз TeamTNT хорошо известна тем, что нацелена на открытые облачные сервисы, и процветает благодаря использование неправильных конфигураций и уязвимостей облака. Первоначально TeamTNT сосредоточилась на кампаниях по майнингу криптовалют, но в последнее время она расширилась и до кражи данных и развертывания бэкдоров, что отражается в последних действиях. 

В этом духе, по данным SentinelOne и Permiso, с прошлого месяца злоумышленник начал атаковать открытые службы Docker, используя недавно модифицированные сценарии оболочки, разработанные для определения среды, в которой они находятся, профилирования систем, поиска файлов учетных данных и проникновения. их. По словам исследователей SentineOne, сценарии также содержат функцию для сбора сведений о переменных среды, которая, вероятно, используется для определения того, есть ли в системе какие-либо другие ценные службы, которые можно будет использовать позже.

По словам Деламотта, набор инструментов злоумышленника перечисляет информацию о среде обслуживания независимо от основного поставщика облачных услуг. «Единственная автоматизация, которую мы видели для Azure или GCP, была связана со сбором учетных данных. Любая последующая деятельность, скорее всего, будет осуществляться на клавиатуре».

Результаты дополняют исследование Aqua Security, которое недавно показало: вредоносная активность, направленная на общедоступные API-интерфейсы Docker и JupyterLab.. Исследователи Aqua приписали эту активность — с высокой степенью уверенности — TeamTNT. 

Развертывание облачных червей

По их оценкам, злоумышленник готовил «агрессивного облачного червя», предназначенного для развертывания в средах AWS, с целью облегчить кражу облачных учетных данных, захват ресурсов и развертывание бэкдора под названием «Цунами».

Аналогичным образом, совместный анализ развивающейся угрозы SentinelOne и Permiso показал, что в дополнение к сценариям оболочки от предыдущих атак TeamTNT теперь поставляет двоичный файл ELF на основе Golang, упакованный в UPX. Бинарный файл по сути удаляет и выполняет другой сценарий оболочки для сканирования диапазона, указанного злоумышленником, и распространения на другие уязвимые цели.

По словам Деламотта, этот механизм распространения червей ищет системы, отвечающие с пользовательским агентом конкретной версии Docker. Эти экземпляры Docker могут размещаться через Azure или GCP. «В других отчетах отмечается, что эти субъекты используют общедоступные сервисы Jupyter, к которым применимы те же концепции», — говорит Деламотт, добавляя, что, по ее мнению, TeamTNT в настоящее время просто тестирует свои инструменты в среде Azure и GCP, а не пытается достичь конкретных целей на затронутых системы.

Также, что касается горизонтального движения, Sysdig на прошлой неделе обновил отчет, который он впервые опубликовал в декабре, добавив новые подробности кампании по краже облачных учетных данных ScarletEel и кампании по майнингу криптовалют, нацеленной на сервисы AWS и Kubernetes, которые SentinelOne и Permiso связали с деятельностью TeamTNT. Sysdig определил, что одна из основных целей кампании — украсть учетные данные AWS и использовать их для дальнейшее использование окружения жертвы путем установки вредоносного ПО, кражи ресурсов и выполнения других вредоносных действий. 

Деламотт отмечает, что подобные атаки на среды AWS, о которых сообщил Sysdig, включают использование известных сред эксплуатации AWS, в том числе системы под названием Pacu. Организации, использующие Azure и GCP, должны предполагать, что атаки на их среды будут включать аналогичные платформы. Она выступает за то, чтобы администраторы разговаривали со своими красными командами, чтобы понять, какие системы атак хорошо работают против этих платформ. 

«Паку — известный фаворит красной команды в атаке на AWS», — говорит она. «Мы можем ожидать, что эти субъекты примут другие успешные схемы эксплуатации».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google