แคมเปญการขโมยข้อมูลรับรองระบบคลาวด์ที่ซับซ้อนและการขุด cryptomining ที่กำหนดเป้าหมายสภาพแวดล้อม Amazon Web Services (AWS) ในช่วงหลายเดือนที่ผ่านมาได้ขยายไปยัง Azure และ Google Cloud Platform (GCP) เช่นกัน และเครื่องมือที่ใช้ในแคมเปญมีความทับซ้อนกันอย่างมากกับเครื่องมือที่เกี่ยวข้องกับ TeamTNT ซึ่งเป็นผู้คุกคามที่มีชื่อเสียงและมีแรงจูงใจทางการเงิน นักวิจัยได้พิจารณาแล้ว
นักวิจัยกล่าวว่าการกำหนดเป้าหมายที่กว้างขึ้นดูเหมือนจะเริ่มขึ้นในเดือนมิถุนายน เซนติเนลวัน และ ขออนุญาตและสอดคล้องกับชุดการปรับปรุงที่เพิ่มขึ้นอย่างต่อเนื่องซึ่งผู้คุกคามที่อยู่เบื้องหลังแคมเปญได้ดำเนินการนับตั้งแต่การโจมตีหลายครั้งเริ่มขึ้นในเดือนธันวาคม
ในรายงานแยกต่างหากที่เน้นประเด็นสำคัญ บริษัทต่างๆ ตั้งข้อสังเกตว่าการโจมตีที่กำหนดเป้าหมายไปที่ Azure และบริการคลาวด์ของ Google นั้นเกี่ยวข้องกับสคริปต์การโจมตีหลักแบบเดียวกับที่กลุ่มภัยคุกคามที่อยู่เบื้องหลังใช้ในแคมเปญ AWS อย่างไรก็ตาม ความสามารถของ Azure และ GCP ยังเพิ่งเริ่มต้นและพัฒนาน้อยกว่าเครื่องมือของ AWS Alex Delamotte นักวิจัยภัยคุกคามของ SentinelOne กล่าว
“นักแสดงใช้เฉพาะโมดูลรวบรวมข้อมูลประจำตัวของ Azure ในการโจมตีล่าสุด – 24 มิถุนายนและใหม่กว่า –” เธอกล่าว “การพัฒนามีความสม่ำเสมอ และเรามีแนวโน้มที่จะเห็นเครื่องมือเพิ่มเติมเกิดขึ้นในอีกไม่กี่สัปดาห์ข้างหน้าพร้อมระบบอัตโนมัติที่ออกแบบตามความต้องการสำหรับสภาพแวดล้อมเหล่านี้ หากผู้โจมตีพบว่าเป็นการลงทุนที่มีคุณค่า”
อาชญากรไซเบอร์ตามล่าอินสแตนซ์ Docker ที่ถูกเปิดเผย
กลุ่มภัยคุกคาม TeamTNT เป็นที่รู้จักกันดีในการกำหนดเป้าหมายบริการคลาวด์ที่ถูกเปิดเผยและเติบโตต่อไป การใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้องและช่องโหว่ของระบบคลาวด์. แม้ว่าในตอนแรก TeamTNT จะมุ่งเน้นไปที่แคมเปญการขุด crypto แต่ล่าสุดได้ขยายไปสู่กิจกรรมการโจรกรรมข้อมูลและการใช้งานลับๆ ด้วยเช่นกัน ซึ่งกิจกรรมล่าสุดสะท้อนให้เห็น
ตามข้อมูลของ SentinelOne และ Permiso ผู้โจมตีได้เริ่มกำหนดเป้าหมายบริการ Docker ที่เปิดเผยเมื่อเดือนที่แล้ว โดยใช้เชลล์สคริปต์ที่ได้รับการปรับปรุงใหม่ซึ่งได้รับการออกแบบทางวิศวกรรมเพื่อกำหนดสภาพแวดล้อมที่พวกเขาอยู่ สร้างโปรไฟล์ระบบ ค้นหาไฟล์ข้อมูลประจำตัว และกรองข้อมูลออก พวกเขา. สคริปต์ยังมีฟังก์ชันสำหรับรวบรวมรายละเอียดตัวแปรสภาพแวดล้อม ซึ่งน่าจะใช้เพื่อตรวจสอบว่ามีบริการที่มีค่าอื่นๆ ในระบบที่จะกำหนดเป้าหมายในภายหลังหรือไม่ นักวิจัยของ SentineOne กล่าว
ชุดเครื่องมือของผู้โจมตีระบุข้อมูลสภาพแวดล้อมการบริการโดยไม่คำนึงถึงผู้ให้บริการระบบคลาวด์พื้นฐาน Delamotte กล่าว “ระบบอัตโนมัติเดียวที่เราเห็นสำหรับ Azure หรือ GCP เกี่ยวข้องกับการเก็บเกี่ยวข้อมูลรับรอง กิจกรรมที่ตามมาใดๆ ก็ตามน่าจะเป็นการลงมือปฏิบัติบนคีย์บอร์ด”
การค้นพบนี้เพิ่มเข้าไปในงานวิจัยของ Aqua Security ที่เพิ่งแสดงให้เห็น กิจกรรมที่เป็นอันตรายซึ่งกำหนดเป้าหมายไปที่ Docker และ JupyterLab API ที่เปิดเผยต่อสาธารณะ. นักวิจัยของ Aqua เชื่อว่ากิจกรรมดังกล่าวเป็นของ TeamTNT ด้วยความมั่นใจในระดับสูง
การปรับใช้เวิร์มคลาวด์
พวกเขาประเมินว่าผู้ก่อภัยคุกคามกำลังเตรียม "เวิร์มคลาวด์เชิงรุก" ที่ออกแบบมาเพื่อปรับใช้ในสภาพแวดล้อม AWS โดยมีเป้าหมายในการอำนวยความสะดวกในการขโมยข้อมูลประจำตัวบนคลาวด์ การแย่งชิงทรัพยากร และการติดตั้งแบ็คดอร์ที่เรียกว่า "สึนามิ"
ในทำนองเดียวกัน การวิเคราะห์ร่วมกันของ SentinelOne และ Permiso เกี่ยวกับภัยคุกคามที่กำลังพัฒนาแสดงให้เห็นว่า นอกเหนือจากเชลล์สคริปต์จากการโจมตีครั้งก่อนๆ แล้ว ขณะนี้ TeamTNT ยังส่งมอบไบนารี ELF ที่อัดแน่นด้วย UPX ที่ใช้ Golang อีกด้วย โดยทั่วไปไบนารีจะดรอปและรันเชลล์สคริปต์อื่นเพื่อสแกนช่วงที่ระบุโดยผู้โจมตีและแพร่กระจายไปยังเป้าหมายที่มีช่องโหว่อื่น ๆ
กลไกการแพร่กระจายของเวิร์มนี้จะมองหาระบบที่ตอบสนองต่อ user-agent เวอร์ชัน Docker ที่เฉพาะเจาะจง Delamotte กล่าว อินสแตนซ์ Docker เหล่านี้สามารถโฮสต์ผ่าน Azure หรือ GCP “รายงานอื่น ๆ ทราบว่านักแสดงเหล่านี้ใช้ประโยชน์จากบริการ Jupyter ที่เปิดเผยต่อสาธารณะซึ่งมีแนวคิดเดียวกันนี้ใช้” Delamotte กล่าว พร้อมเสริมว่าเธอเชื่อว่าขณะนี้ TeamTNT กำลังทดสอบเครื่องมือของตนในสภาพแวดล้อม Azure และ GCP เท่านั้น แทนที่จะมองหาเพื่อให้บรรลุวัตถุประสงค์เฉพาะเมื่อได้รับผลกระทบ ระบบ
นอกจากนี้ ในด้านการเคลื่อนไหวด้านข้าง Sysdig เมื่อสัปดาห์ที่แล้วได้อัปเดตรายงานที่เผยแพร่ครั้งแรกในเดือนธันวาคม พร้อมรายละเอียดใหม่เกี่ยวกับการขโมยข้อมูลรับรองระบบคลาวด์ของ ScarletEel และแคมเปญการขุด crypto ที่กำหนดเป้าหมายบริการ AWS และ Kubernetes ซึ่ง SentinelOne และ Permiso ได้เชื่อมโยงกับกิจกรรม TeamTNT Sysdig ระบุว่าหนึ่งในเป้าหมายหลักของแคมเปญคือการขโมยข้อมูลรับรอง AWS และนำไปใช้ ใช้ประโยชน์จากสภาพแวดล้อมของเหยื่อต่อไป โดยการติดตั้งมัลแวร์ ขโมยทรัพยากร และดำเนินกิจกรรมที่เป็นอันตรายอื่นๆ
การโจมตีแบบเดียวกับที่โจมตีสภาพแวดล้อม AWS ที่ Sysdig รายงานเกี่ยวข้องกับการใช้เฟรมเวิร์กการหาประโยชน์จาก AWS ที่รู้จัก ซึ่งรวมถึง Pacu, Delamotte Notes องค์กรที่ใช้ Azure และ GCP ควรถือว่าการโจมตีสภาพแวดล้อมของตนจะเกี่ยวข้องกับเฟรมเวิร์กที่คล้ายกัน เธอสนับสนุนให้ผู้ดูแลระบบพูดคุยกับทีมสีแดงเพื่อทำความเข้าใจว่าเฟรมเวิร์กการโจมตีใดทำงานได้ดีกับแพลตฟอร์มเหล่านี้
“Pacu เป็นทีมสีแดงที่รู้จักกันดีในการโจมตี AWS” เธอกล่าว “เราคาดหวังได้ว่าผู้แสดงเหล่านี้จะนำกรอบการแสวงหาผลประโยชน์ที่ประสบความสำเร็จอื่น ๆ มาใช้”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google
- :มี
- :เป็น
- :ที่ไหน
- 24
- 7
- a
- ตาม
- บรรลุ
- กิจกรรม
- อยากทำกิจกรรม
- นักแสดง
- เพิ่ม
- เพิ่ม
- นอกจากนี้
- ผู้ดูแลระบบ
- นำมาใช้
- สนับสนุน
- หลังจาก
- กับ
- ก้าวร้าว
- อเล็กซ์
- ด้วย
- อเมซอน
- Amazon Web Services
- Amazon Web Services (AWS)
- an
- การวิเคราะห์
- และ
- อื่น
- ใด
- ปรากฏ
- ใช้
- น้ำ
- เป็น
- AS
- การประเมิน
- ที่เกี่ยวข้อง
- สมมติ
- At
- โจมตี
- โจมตี
- การโจมตี
- อัตโนมัติ
- AWS
- สีฟ้า
- ประตูหลัง
- เป็นพื้น
- BE
- รับ
- เริ่ม
- หลัง
- เชื่อ
- bespoke
- ที่กว้างขึ้น
- by
- ที่เรียกว่า
- รณรงค์
- แคมเปญ
- CAN
- ความสามารถในการ
- การปฏิบัติ
- เมฆ
- แพลตฟอร์มคลาวด์
- บริการคลาวด์
- การเก็บรวบรวม
- ชุด
- มา
- สัปดาห์ที่ผ่านมา
- แนวความคิด
- ความมั่นใจ
- มาก
- คงเส้นคงวา
- บรรจุ
- ต่อเนื่องกัน
- แกน
- ได้
- หนังสือรับรอง
- หนังสือรับรอง
- ขณะนี้
- ข้อมูล
- ธันวาคม
- การส่งมอบ
- ปรับใช้
- การใช้งาน
- ได้รับการออกแบบ
- รายละเอียด
- กำหนด
- แน่นอน
- พัฒนา
- พัฒนาการ
- นักเทียบท่า
- หยด
- ก่อน
- เด็กซน
- ออกมา
- สิ่งแวดล้อม
- สภาพแวดล้อม
- การพัฒนา
- รัน
- ขยาย
- คาดหวัง
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ที่เปิดเผย
- อำนวยความสะดวก
- ที่ชื่นชอบ
- ไฟล์
- ให้เงิน
- หา
- ผลการวิจัย
- บริษัท
- ชื่อจริง
- มุ่งเน้น
- สำหรับ
- กรอบ
- ราคาเริ่มต้นที่
- ด้านหน้า
- ฟังก์ชัน
- เป้าหมาย
- เป้าหมาย
- ไป
- Google Cloud
- Google Cloud Platform
- บัญชีกลุ่ม
- การเก็บเกี่ยว
- มี
- จุดสูง
- ไฮไลต์
- เป็นเจ้าภาพ
- อย่างไรก็ตาม
- HTTPS
- if
- ที่กระทบ
- การดำเนินการ
- in
- รวมทั้ง
- ข้อมูล
- ในขั้นต้น
- การติดตั้ง
- เข้าไป
- การลงทุน
- รวมถึง
- IT
- ITS
- ร่วมกัน
- jpg
- มิถุนายน
- คีย์
- ที่รู้จักกัน
- ชื่อสกุล
- ต่อมา
- ล่าสุด
- น้อยลง
- ชั้น
- กดไลก์
- น่าจะ
- ที่เชื่อมโยง
- ที่ต้องการหา
- LOOKS
- การทำ
- มัลแวร์
- กลไก
- แค่
- การแก้ไข
- โมดูล
- เดือน
- เดือน
- ข้อมูลเพิ่มเติม
- แรงบันดาลใจ
- การเคลื่อนไหว
- ตั้งไข่
- ใหม่
- ใหม่
- เด่น
- หมายเหตุ / รายละเอียดเพิ่มเติม
- ฉาวโฉ่
- ตอนนี้
- วัตถุประสงค์
- of
- on
- ONE
- เพียง
- or
- อื่นๆ
- ออก
- เกิน
- อดีต
- เวที
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ประถม
- โปรไฟล์
- ผู้จัดหา
- การตีพิมพ์
- พิสัย
- ค่อนข้าง
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- สีแดง
- สะท้อนให้เห็นถึง
- ไม่คำนึงถึง
- ที่เกี่ยวข้อง
- รายงาน
- รายงาน
- รายงาน
- การวิจัย
- นักวิจัย
- นักวิจัย
- ทรัพยากร
- แหล่งข้อมูล
- การตอบสนอง
- s
- กล่าวว่า
- เดียวกัน
- เห็น
- พูดว่า
- การสแกน
- สคริปต์
- ค้นหา
- เห็น
- แยก
- ชุด
- บริการ
- ผู้ให้บริการ
- บริการ
- หลาย
- Share
- เธอ
- เปลือก
- น่า
- แสดงให้เห็นว่า
- คล้ายคลึงกัน
- ตั้งแต่
- ซับซ้อน
- พูด
- โดยเฉพาะ
- สเปรด
- ที่ประสบความสำเร็จ
- ระบบ
- ระบบ
- Takeaways
- เป้า
- กำหนดเป้าหมาย
- เป้าหมาย
- ทีม
- ทีม
- การทดสอบ
- กว่า
- ที่
- พื้นที่
- การโจรกรรม
- ของพวกเขา
- พวกเขา
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- เหล่านั้น
- การคุกคาม
- ตลอด
- ไปยัง
- เครื่องมือ
- สึนามิ
- พื้นฐาน
- เข้าใจ
- ให้กับคุณ
- ใช้
- มือสอง
- การใช้
- มีคุณค่า
- รุ่น
- มาก
- เหยื่อ
- อ่อนแอ
- คือ
- we
- เว็บ
- บริการเว็บ
- สัปดาห์
- สัปดาห์ที่ผ่านมา
- ดี
- อะไร
- ที่
- ในขณะที่
- จะ
- กับ
- งาน
- หนอน
- ลมทะเล