Kampanja za krajo poverilnic v oblaku AWS se razširi na Azure, Google Cloud

Sofisticirana kampanja za krajo poverilnic v oblaku in kripto rudarjenje, ki je zadnjih nekaj mesecev ciljala na okolja Amazon Web Services (AWS), se je zdaj razširila tudi na Azure in Google Cloud Platform (GCP). Raziskovalci so ugotovili, da se orodja, uporabljena v kampanji, precej prekrivajo s tistimi, ki so povezana s TeamTNT, zloglasnim, finančno motiviranim akterjem groženj.

Zdi se, da se je širše ciljanje začelo junija, pravijo raziskovalci pri SentinelOne in Oprostite, in je skladen z neprekinjenim nizom postopnih izboljšav, ki jih akter grožnje, ki stoji za kampanjo, izvaja od začetka niza napadov v decembru.

V ločenih poročilih, ki poudarjajo njihove ključne zaključke, sta podjetji ugotovili, da napadi, ki ciljajo na storitve v oblaku Azure in Google, vključujejo iste skripte za osrednje napade, ki jih skupina groženj, ki stoji za njo, uporablja v kampanji AWS. Vendar pa sta zmogljivosti Azure in GCP zelo začetni in manj razviti kot orodja AWS, pravi Alex Delamotte, raziskovalec groženj pri SentinelOne. 

»Igralec je samo implementiral modul za zbiranje poverilnic Azure v novejših napadih – 24. junija in novejših –,« pravi. "Razvoj je bil dosleden in verjetno bomo videli, da se bo v prihodnjih tednih pojavilo več orodij z avtomatizacijami po meri za ta okolja, če se bodo napadalcu zdela dragocena naložba."

Kibernetski kriminalci lovijo izpostavljene primerke Docker

Skupina groženj TeamTNT je dobro znana po ciljanju na izpostavljene storitve v oblaku in uspeva izkoriščanje napačnih konfiguracij in ranljivosti oblaka. Medtem ko se je TeamTNT sprva osredotočal na akcije kriptokopanja, se je pred kratkim razširil tudi na krajo podatkov in dejavnosti uvajanja zakulisnih vrat, kar odraža zadnja dejavnost. 

V tem smislu je po podatkih SentinelOne in Permiso napadalec prejšnji mesec začel ciljati na izpostavljene storitve Docker z uporabo na novo spremenjenih lupinskih skriptov, ki so zasnovani tako, da določajo okolje, v katerem so, profilirajo sisteme, iščejo datoteke poverilnic in izločijo njim. Skripti vsebujejo tudi funkcijo za zbiranje podrobnosti o spremenljivkah okolja, ki se verjetno uporabljajo za ugotavljanje, ali so v sistemu še kakšne druge dragocene storitve, ki bi jih lahko kasneje ciljali, so povedali raziskovalci SentineOne.

Napadalčev nabor orodij našteje informacije o storitvenem okolju ne glede na osnovnega ponudnika storitev v oblaku, pravi Delamotte. »Edina avtomatizacija, ki smo jo videli za Azure ali GCP, je bila povezana z zbiranjem poverilnic. Vsaka nadaljnja dejavnost je verjetno praktična uporaba tipkovnice.«

Ugotovitve dopolnjujejo raziskavo Aqua Security, ki je nedavno pokazala zlonamerna dejavnost, ki cilja na javne API-je Docker in JupyterLab. Raziskovalci Aqua so dejavnost – z visoko stopnjo zaupanja – pripisali TeamTNT. 

Uvajanje Cloud Worms

Ocenili so, da je akter grožnje pripravljal "agresivnega črva v oblaku", zasnovanega za namestitev v okoljih AWS, s ciljem olajšati krajo poverilnic v oblaku, ugrabitev virov in uvedbo stranskih vrat, imenovanih "cunami".

Podobno je skupna analiza razvijajoče se grožnje SentinelOne in Permiso pokazala, da TeamTNT poleg lupinskih skriptov iz prejšnjih napadov zdaj zagotavlja UPX zapakirano binarno datoteko ELF, ki temelji na Golangu. Binarna datoteka v bistvu spusti in izvede drug lupinski skript za skeniranje obsega, ki ga določi napadalec, in širjenje na druge ranljive cilje.

Delamotte pravi, da ta mehanizem za širjenje črvov išče sisteme, ki se odzivajo z določenim uporabniškim agentom različice Docker. Te primerke Docker bi lahko gostili prek Azure ali GCP. "Druga poročila ugotavljajo, da ti akterji izkoriščajo javne storitve Jupyter, kjer veljajo enaki koncepti," pravi Delamotte in dodaja, da verjame, da TeamTNT trenutno le preizkuša svoja orodja v okolju Azure in GCP, namesto da bi želel doseči posebne cilje na prizadetih sistemi.

Tudi na sprednji strani bočnega gibanja je Sysdig prejšnji teden posodobil poročilo, ki ga je prvič objavil decembra, z novimi podrobnostmi o kampanji kraje poverilnic v oblaku ScarletEel in kripto rudarjenju, ki cilja na storitve AWS in Kubernetes, ki sta ju SentinelOne in Permiso povezala z dejavnostjo TeamTNT. Sysdig je ugotovil, da je eden glavnih ciljev kampanje ukrasti poverilnice AWS in jih uporabiti za dodatno izkoriščajo žrtvino okolje z nameščanjem zlonamerne programske opreme, krajo virov in izvajanjem drugih zlonamernih dejavnosti. 

Napadi, kot je tisti na okolja AWS, o katerih poroča Sysdig, vključujejo uporabo znanih okvirov za izkoriščanje AWS, vključno z ogrodjem, imenovanim Pacu, ugotavlja Delamotte. Organizacije, ki uporabljajo Azure in GCP, bi morale domnevati, da bodo napadi na njihova okolja vključevali podobna ogrodja. Zagovarja, da se skrbniki pogovarjajo s svojimi rdečimi ekipami, da bi razumeli, kateri napadalni okviri dobro delujejo proti tem platformam. 

»Pacu je znan favorit rdeče ekipe za napad na AWS,« pravi. "Pričakujemo lahko, da bodo ti akterji sprejeli druge uspešne okvire izkoriščanja."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
• vir: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google