AWS Cloud Credential Stealing-kampanj sprids till Azure, Google Cloud

En sofistikerad kampanj för stöld av molnuppgifter och kryptominering med inriktning på Amazon Web Services (AWS)-miljöer under de senaste månaderna har nu expanderat till Azure och Google Cloud Platform (GCP) också. Och verktygen som används i kampanjen delar avsevärd överlappning med de som är associerade med TeamTNT, en ökänd, ekonomiskt motiverad hotaktör, har forskare fastställt.

Den bredare inriktningen verkar ha börjat i juni, enligt forskare vid SentinelOne och Ursäkta mig, och överensstämmer med en kontinuerlig serie av inkrementella förbättringar som hotaktören bakom kampanjen har gjort till den sedan serien av attacker började i december.

I separata rapporter som lyfter fram deras viktigaste takeaways, noterade företagen att attackerna mot Azure och Googles molntjänster involverar samma kärnangreppsskript som hotgruppen bakom har använt i AWS-kampanjen. Men Azure- och GCP-funktionerna är väldigt begynnande och mindre utvecklade än AWS-verktygen, säger Alex Delamotte, hotforskare på SentinelOne. 

"Skådespelaren implementerade bara Azure-insamlingsmodulen för autentiseringsuppgifter i de senaste attackerna - 24 juni och nyare", säger hon. "Utvecklingen har varit konsekvent, och vi kommer sannolikt att se fler verktyg dyka upp under de kommande veckorna med skräddarsydda automatiseringar för dessa miljöer, om angriparen skulle finna att de är en värdefull investering."

Cyberbrottslingar som går efter exponerade Docker-instanser

TeamTNT-hotgruppen är välkänd för att inrikta sig på utsatta molntjänster och trivs vidare utnyttjar felkonfigurationer och sårbarheter i molnet. Medan TeamTNT initialt fokuserade på kryptomineringskampanjer, har det på senare tid expanderat till även datastöld och bakdörrsdistribution, vilket den senaste aktiviteten återspeglar. 

I den riktningen, enligt SentinelOne och Permiso, har angriparen börjat rikta in sig på exponerade Docker-tjänster från och med förra månaden, med hjälp av nyligen modifierade skalskript som är konstruerade för att bestämma miljön de befinner sig i, profilera systemen, söka efter referensfiler och exfiltrera dem. Skripten innehåller också en funktion för att samla in miljövariabeldetaljer, som troligen används för att avgöra om det finns några andra värdefulla tjänster på systemet att rikta in sig på senare, sa SentineOne-forskare.

Angriparens verktygsuppsättning räknar upp tjänstemiljöinformation oavsett den underliggande molntjänstleverantören, säger Delamotte. "Den enda automatisering vi såg för Azure eller GCP var relaterad till insamling av autentiseringsuppgifter. Alla uppföljningsaktiviteter är sannolikt hands-on-tangentbord."

Fynden kompletterar forskningen från Aqua Security som nyligen visade skadlig aktivitet riktad mot publiken Docker och JupyterLab API:er. Aqua-forskare tillskrev aktiviteten - med ett högt självförtroende - till TeamTNT. 

Distribuera Cloud Worms

De bedömde att hotaktören förberedde en "aggressiv molnmask" utformad för att distribueras i AWS-miljöer, med ett mål att underlätta stöld av molnuppgifter, resurskapning och utplacering av en bakdörr kallad "Tsunami."

På samma sätt visade SentinelOne och Permisos gemensamma analys av det växande hotet att utöver skalskripten från tidigare attacker, levererar TeamTNT nu en UPX-packad, Golang-baserad ELF-binär. Binären tappar i princip och kör ett annat skalskript för att skanna ett angriparspecificerat intervall och sprida sig till andra sårbara mål.

Denna maskutbredningsmekanism letar efter system som svarar med en specifik Docker-version av användaragent, säger Delamotte. Dessa Docker-instanser kan vara värd genom Azure eller GCP. "Andra rapporter noterar att dessa aktörer utnyttjar Jupyter-tjänster för allmänheten, där samma koncept gäller," säger Delamotte och tillägger att hon tror att TeamTNT för närvarande bara testar sina verktyg i Azure- och GCP-miljön snarare än att försöka uppnå specifika mål för de drabbade system.

Också på fronten för laterala rörelser uppdaterade Sysdig förra veckan en rapport som den först publicerade i december, med nya detaljer om ScarletEels kampanj för molnstöld och kryptominering riktad mot AWS- och Kubernetes-tjänster, som SentinelOne och Permiso har kopplat till TeamTNT-aktiviteten. Sysdig fastställde att ett av kampanjens primära mål är att stjäla AWS-uppgifter och använda dem för att ytterligare utnyttja offrets miljö genom att installera skadlig programvara, stjäla resurser och utföra andra skadliga aktiviteter. 

Attacker som den mot AWS-miljöer som Sysdig rapporterade involverar användning av kända AWS-exploateringsramverk, inklusive en som heter Pacu, noterar Delamotte. Organisationer som använder Azure och GCP bör anta att attacker mot deras miljöer kommer att involvera liknande ramverk. Hon förespråkar att administratörer pratar med sina röda team för att förstå vilka attackramar som fungerar bra mot dessa plattformar. 

"Pacu är en känd röd lagfavorit för att attackera AWS", säger hon. "Vi kan förvänta oss att dessa aktörer kommer att anta andra framgångsrika exploateringsramar."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
• Källa: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google