Сложная кампания по краже облачных учетных данных и майнингу криптовалют, нацеленная на среды Amazon Web Services (AWS), проводившаяся в течение последних нескольких месяцев, теперь распространилась и на Azure и Google Cloud Platform (GCP). Исследователи установили, что инструменты, использованные в кампании, во многом совпадают с инструментами, связанными с TeamTNT, печально известным и финансово мотивированным злоумышленником.
По данным исследователей из SentinelOne и Прошу прощенияи соответствует непрерывной серии дополнительных усовершенствований, которые вносил в нее злоумышленник, стоящий за кампанией, с момента начала серии атак в декабре.
В отдельных отчетах, в которых подчеркиваются основные выводы, компании отметили, что атаки, нацеленные на Azure и облачные сервисы Google, включают в себя те же основные сценарии атак, которые стоящая за ними группа угроз использовала в кампании AWS. Однако возможности Azure и GCP еще только зарождаются и менее развиты, чем инструменты AWS, говорит Алекс Деламотт, исследователь угроз в SentinelOne.
«Злоумышленник реализовал модуль сбора учетных данных Azure только в последних атаках — от 24 июня и позже», — говорит она. «Разработка ведется последовательно, и, вероятно, в ближайшие недели мы увидим появление новых инструментов со специальной автоматизацией для этих сред, если злоумышленник сочтет их ценной инвестицией».
Киберпреступники преследуют открытые экземпляры Docker
Группа угроз TeamTNT хорошо известна тем, что нацелена на открытые облачные сервисы, и процветает благодаря использование неправильных конфигураций и уязвимостей облака. Первоначально TeamTNT сосредоточилась на кампаниях по майнингу криптовалют, но в последнее время она расширилась и до кражи данных и развертывания бэкдоров, что отражается в последних действиях.
В этом духе, по данным SentinelOne и Permiso, с прошлого месяца злоумышленник начал атаковать открытые службы Docker, используя недавно модифицированные сценарии оболочки, разработанные для определения среды, в которой они находятся, профилирования систем, поиска файлов учетных данных и проникновения. их. По словам исследователей SentineOne, сценарии также содержат функцию для сбора сведений о переменных среды, которая, вероятно, используется для определения того, есть ли в системе какие-либо другие ценные службы, которые можно будет использовать позже.
По словам Деламотта, набор инструментов злоумышленника перечисляет информацию о среде обслуживания независимо от основного поставщика облачных услуг. «Единственная автоматизация, которую мы видели для Azure или GCP, была связана со сбором учетных данных. Любая последующая деятельность, скорее всего, будет осуществляться на клавиатуре».
Результаты дополняют исследование Aqua Security, которое недавно показало: вредоносная активность, направленная на общедоступные API-интерфейсы Docker и JupyterLab.. Исследователи Aqua приписали эту активность — с высокой степенью уверенности — TeamTNT.
Развертывание облачных червей
По их оценкам, злоумышленник готовил «агрессивного облачного червя», предназначенного для развертывания в средах AWS, с целью облегчить кражу облачных учетных данных, захват ресурсов и развертывание бэкдора под названием «Цунами».
Аналогичным образом, совместный анализ развивающейся угрозы SentinelOne и Permiso показал, что в дополнение к сценариям оболочки от предыдущих атак TeamTNT теперь поставляет двоичный файл ELF на основе Golang, упакованный в UPX. Бинарный файл по сути удаляет и выполняет другой сценарий оболочки для сканирования диапазона, указанного злоумышленником, и распространения на другие уязвимые цели.
По словам Деламотта, этот механизм распространения червей ищет системы, отвечающие с пользовательским агентом конкретной версии Docker. Эти экземпляры Docker могут размещаться через Azure или GCP. «В других отчетах отмечается, что эти субъекты используют общедоступные сервисы Jupyter, к которым применимы те же концепции», — говорит Деламотт, добавляя, что, по ее мнению, TeamTNT в настоящее время просто тестирует свои инструменты в среде Azure и GCP, а не пытается достичь конкретных целей на затронутых системы.
Также, что касается горизонтального движения, Sysdig на прошлой неделе обновил отчет, который он впервые опубликовал в декабре, добавив новые подробности кампании по краже облачных учетных данных ScarletEel и кампании по майнингу криптовалют, нацеленной на сервисы AWS и Kubernetes, которые SentinelOne и Permiso связали с деятельностью TeamTNT. Sysdig определил, что одна из основных целей кампании — украсть учетные данные AWS и использовать их для дальнейшее использование окружения жертвы путем установки вредоносного ПО, кражи ресурсов и выполнения других вредоносных действий.
Деламотт отмечает, что подобные атаки на среды AWS, о которых сообщил Sysdig, включают использование известных сред эксплуатации AWS, в том числе системы под названием Pacu. Организации, использующие Azure и GCP, должны предполагать, что атаки на их среды будут включать аналогичные платформы. Она выступает за то, чтобы администраторы разговаривали со своими красными командами, чтобы понять, какие системы атак хорошо работают против этих платформ.
«Паку — известный фаворит красной команды в атаке на AWS», — говорит она. «Мы можем ожидать, что эти субъекты примут другие успешные схемы эксплуатации».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google
- :имеет
- :является
- :куда
- 24
- 7
- a
- По
- Достигать
- активно
- деятельность
- актеры
- Добавить
- добавить
- дополнение
- администраторы
- принять
- адвокаты
- После
- против
- агрессивный
- Alex
- причислены
- Amazon
- Amazon Web Services
- Веб-службы Amazon (AWS)
- an
- анализ
- и
- Другой
- любой
- появляется
- Применить
- вода
- МЫ
- AS
- оценивается
- связанный
- предполагать
- At
- атаковать
- Атакующий
- нападки
- автоматизация
- AWS
- Лазурный
- задняя дверь
- в основном
- BE
- было
- начал
- за
- считает,
- сделанный на заказ
- шире
- by
- под названием
- Кампания
- Кампании
- CAN
- возможности
- проведение
- облако
- Облачная платформа
- облачные сервисы
- Сбор
- лыжных шлемов
- приход
- ближайшие недели
- понятия
- доверие
- значительный
- последовательный
- содержать
- (CIJ)
- Основные
- может
- ПОЛНОМОЧИЯ
- Полномочия
- В настоящее время
- данным
- Декабрь
- доставки
- развертывание
- развертывание
- предназначенный
- подробнее
- Определять
- определены
- развитый
- Развитие
- Docker
- Капли
- Ранее
- эльф
- появляться
- Окружающая среда
- средах
- развивается
- Выполняет
- расширенный
- ожидать
- Эксплуатировать
- эксплуатация
- подвергаться
- облегчающий
- Избранное
- Файлы
- в финансовом отношении
- Найдите
- результаты
- Компаний
- Во-первых,
- внимание
- Что касается
- каркасы
- от
- передний
- функция
- цель
- Цели
- будет
- Google Cloud
- Виртуальная платформа Google
- группы
- Сбор урожая
- Есть
- High
- выделив
- состоялся
- Однако
- HTTPS
- if
- влияние
- в XNUMX году
- in
- В том числе
- информация
- первоначально
- Установка
- в
- инвестиций
- включать в себя
- IT
- ЕГО
- совместная
- JPG
- июнь
- Основные
- известный
- Фамилия
- новее
- последний
- Меньше
- уровень
- такое как
- Вероятно
- связанный
- искать
- ВЗГЛЯДЫ
- Создание
- вредоносных программ
- механизм
- просто
- модифицировало
- Модули
- Месяц
- месяцев
- БОЛЕЕ
- мотивированные
- движение
- рождающийся
- Новые
- вновь
- отметил,
- Заметки
- печально известный
- сейчас
- целей
- of
- on
- ONE
- только
- or
- Другое
- внешний
- за
- мимо
- Платформа
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- первичный
- Профиль
- Недвижимости
- опубликованный
- ассортимент
- скорее
- последний
- недавно
- Red
- отражает
- Несмотря на
- Связанный
- отчету
- Сообщается
- Отчеты
- исследованиям
- исследователь
- исследователи
- ресурс
- Полезные ресурсы
- ответ
- s
- Сказал
- то же
- видел
- говорит
- сканирование
- скрипты
- Поиск
- посмотреть
- отдельный
- Серии
- обслуживание
- Провайдер услуг
- Услуги
- несколько
- Поделиться
- она
- Оболочка
- должен
- показал
- аналогичный
- с
- сложный
- говорить
- конкретный
- Спреды
- успешный
- система
- системы
- Takeaways
- цель
- направлены
- направлена против
- команда
- команды
- Тестирование
- чем
- который
- Ассоциация
- кража
- их
- Их
- Там.
- Эти
- они
- те
- угроза
- Через
- в
- инструменты
- Цунами
- лежащий в основе
- понимать
- обновление
- использование
- используемый
- через
- ценный
- версия
- очень
- Жертва
- Уязвимый
- законопроект
- we
- Web
- веб-сервисы
- неделя
- Недели
- ЧТО Ж
- Что
- , которые
- в то время как
- будете
- Работа
- червь
- зефирнет