แคมเปญขโมยข้อมูลรับรอง AWS Cloud แพร่กระจายไปยัง Azure, Google Cloud

แคมเปญการขโมยข้อมูลรับรองระบบคลาวด์ที่ซับซ้อนและการขุด cryptomining ที่กำหนดเป้าหมายสภาพแวดล้อม Amazon Web Services (AWS) ในช่วงหลายเดือนที่ผ่านมาได้ขยายไปยัง Azure และ Google Cloud Platform (GCP) เช่นกัน และเครื่องมือที่ใช้ในแคมเปญมีความทับซ้อนกันอย่างมากกับเครื่องมือที่เกี่ยวข้องกับ TeamTNT ซึ่งเป็นผู้คุกคามที่มีชื่อเสียงและมีแรงจูงใจทางการเงิน นักวิจัยได้พิจารณาแล้ว

นักวิจัยกล่าวว่าการกำหนดเป้าหมายที่กว้างขึ้นดูเหมือนจะเริ่มขึ้นในเดือนมิถุนายน เซนติเนลวัน และ ขออนุญาตและสอดคล้องกับชุดการปรับปรุงที่เพิ่มขึ้นอย่างต่อเนื่องซึ่งผู้คุกคามที่อยู่เบื้องหลังแคมเปญได้ดำเนินการนับตั้งแต่การโจมตีหลายครั้งเริ่มขึ้นในเดือนธันวาคม

ในรายงานแยกต่างหากที่เน้นประเด็นสำคัญ บริษัทต่างๆ ตั้งข้อสังเกตว่าการโจมตีที่กำหนดเป้าหมายไปที่ Azure และบริการคลาวด์ของ Google นั้นเกี่ยวข้องกับสคริปต์การโจมตีหลักแบบเดียวกับที่กลุ่มภัยคุกคามที่อยู่เบื้องหลังใช้ในแคมเปญ AWS อย่างไรก็ตาม ความสามารถของ Azure และ GCP ยังเพิ่งเริ่มต้นและพัฒนาน้อยกว่าเครื่องมือของ AWS Alex Delamotte นักวิจัยภัยคุกคามของ SentinelOne กล่าว 

“นักแสดงใช้เฉพาะโมดูลรวบรวมข้อมูลประจำตัวของ Azure ในการโจมตีล่าสุด – 24 มิถุนายนและใหม่กว่า –” เธอกล่าว “การพัฒนามีความสม่ำเสมอ และเรามีแนวโน้มที่จะเห็นเครื่องมือเพิ่มเติมเกิดขึ้นในอีกไม่กี่สัปดาห์ข้างหน้าพร้อมระบบอัตโนมัติที่ออกแบบตามความต้องการสำหรับสภาพแวดล้อมเหล่านี้ หากผู้โจมตีพบว่าเป็นการลงทุนที่มีคุณค่า”

อาชญากรไซเบอร์ตามล่าอินสแตนซ์ Docker ที่ถูกเปิดเผย

กลุ่มภัยคุกคาม TeamTNT เป็นที่รู้จักกันดีในการกำหนดเป้าหมายบริการคลาวด์ที่ถูกเปิดเผยและเติบโตต่อไป การใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้องและช่องโหว่ของระบบคลาวด์. แม้ว่าในตอนแรก TeamTNT จะมุ่งเน้นไปที่แคมเปญการขุด crypto แต่ล่าสุดได้ขยายไปสู่กิจกรรมการโจรกรรมข้อมูลและการใช้งานลับๆ ด้วยเช่นกัน ซึ่งกิจกรรมล่าสุดสะท้อนให้เห็น 

ตามข้อมูลของ SentinelOne และ Permiso ผู้โจมตีได้เริ่มกำหนดเป้าหมายบริการ Docker ที่เปิดเผยเมื่อเดือนที่แล้ว โดยใช้เชลล์สคริปต์ที่ได้รับการปรับปรุงใหม่ซึ่งได้รับการออกแบบทางวิศวกรรมเพื่อกำหนดสภาพแวดล้อมที่พวกเขาอยู่ สร้างโปรไฟล์ระบบ ค้นหาไฟล์ข้อมูลประจำตัว และกรองข้อมูลออก พวกเขา. สคริปต์ยังมีฟังก์ชันสำหรับรวบรวมรายละเอียดตัวแปรสภาพแวดล้อม ซึ่งน่าจะใช้เพื่อตรวจสอบว่ามีบริการที่มีค่าอื่นๆ ในระบบที่จะกำหนดเป้าหมายในภายหลังหรือไม่ นักวิจัยของ SentineOne กล่าว

ชุดเครื่องมือของผู้โจมตีระบุข้อมูลสภาพแวดล้อมการบริการโดยไม่คำนึงถึงผู้ให้บริการระบบคลาวด์พื้นฐาน Delamotte กล่าว “ระบบอัตโนมัติเดียวที่เราเห็นสำหรับ Azure หรือ GCP เกี่ยวข้องกับการเก็บเกี่ยวข้อมูลรับรอง กิจกรรมที่ตามมาใดๆ ก็ตามน่าจะเป็นการลงมือปฏิบัติบนคีย์บอร์ด”

การค้นพบนี้เพิ่มเข้าไปในงานวิจัยของ Aqua Security ที่เพิ่งแสดงให้เห็น กิจกรรมที่เป็นอันตรายซึ่งกำหนดเป้าหมายไปที่ Docker และ JupyterLab API ที่เปิดเผยต่อสาธารณะ. นักวิจัยของ Aqua เชื่อว่ากิจกรรมดังกล่าวเป็นของ TeamTNT ด้วยความมั่นใจในระดับสูง 

การปรับใช้เวิร์มคลาวด์

พวกเขาประเมินว่าผู้ก่อภัยคุกคามกำลังเตรียม "เวิร์มคลาวด์เชิงรุก" ที่ออกแบบมาเพื่อปรับใช้ในสภาพแวดล้อม AWS โดยมีเป้าหมายในการอำนวยความสะดวกในการขโมยข้อมูลประจำตัวบนคลาวด์ การแย่งชิงทรัพยากร และการติดตั้งแบ็คดอร์ที่เรียกว่า "สึนามิ"

ในทำนองเดียวกัน การวิเคราะห์ร่วมกันของ SentinelOne และ Permiso เกี่ยวกับภัยคุกคามที่กำลังพัฒนาแสดงให้เห็นว่า นอกเหนือจากเชลล์สคริปต์จากการโจมตีครั้งก่อนๆ แล้ว ขณะนี้ TeamTNT ยังส่งมอบไบนารี ELF ที่อัดแน่นด้วย UPX ที่ใช้ Golang อีกด้วย โดยทั่วไปไบนารีจะดรอปและรันเชลล์สคริปต์อื่นเพื่อสแกนช่วงที่ระบุโดยผู้โจมตีและแพร่กระจายไปยังเป้าหมายที่มีช่องโหว่อื่น ๆ

กลไกการแพร่กระจายของเวิร์มนี้จะมองหาระบบที่ตอบสนองต่อ user-agent เวอร์ชัน Docker ที่เฉพาะเจาะจง Delamotte กล่าว อินสแตนซ์ Docker เหล่านี้สามารถโฮสต์ผ่าน Azure หรือ GCP “รายงานอื่น ๆ ทราบว่านักแสดงเหล่านี้ใช้ประโยชน์จากบริการ Jupyter ที่เปิดเผยต่อสาธารณะซึ่งมีแนวคิดเดียวกันนี้ใช้” Delamotte กล่าว พร้อมเสริมว่าเธอเชื่อว่าขณะนี้ TeamTNT กำลังทดสอบเครื่องมือของตนในสภาพแวดล้อม Azure และ GCP เท่านั้น แทนที่จะมองหาเพื่อให้บรรลุวัตถุประสงค์เฉพาะเมื่อได้รับผลกระทบ ระบบ

นอกจากนี้ ในด้านการเคลื่อนไหวด้านข้าง Sysdig เมื่อสัปดาห์ที่แล้วได้อัปเดตรายงานที่เผยแพร่ครั้งแรกในเดือนธันวาคม พร้อมรายละเอียดใหม่เกี่ยวกับการขโมยข้อมูลรับรองระบบคลาวด์ของ ScarletEel และแคมเปญการขุด crypto ที่กำหนดเป้าหมายบริการ AWS และ Kubernetes ซึ่ง SentinelOne และ Permiso ได้เชื่อมโยงกับกิจกรรม TeamTNT Sysdig ระบุว่าหนึ่งในเป้าหมายหลักของแคมเปญคือการขโมยข้อมูลรับรอง AWS และนำไปใช้ ใช้ประโยชน์จากสภาพแวดล้อมของเหยื่อต่อไป โดยการติดตั้งมัลแวร์ ขโมยทรัพยากร และดำเนินกิจกรรมที่เป็นอันตรายอื่นๆ 

การโจมตีแบบเดียวกับที่โจมตีสภาพแวดล้อม AWS ที่ Sysdig รายงานเกี่ยวข้องกับการใช้เฟรมเวิร์กการหาประโยชน์จาก AWS ที่รู้จัก ซึ่งรวมถึง Pacu, Delamotte Notes องค์กรที่ใช้ Azure และ GCP ควรถือว่าการโจมตีสภาพแวดล้อมของตนจะเกี่ยวข้องกับเฟรมเวิร์กที่คล้ายกัน เธอสนับสนุนให้ผู้ดูแลระบบพูดคุยกับทีมสีแดงเพื่อทำความเข้าใจว่าเฟรมเวิร์กการโจมตีใดทำงานได้ดีกับแพลตฟอร์มเหล่านี้ 

“Pacu เป็นทีมสีแดงที่รู้จักกันดีในการโจมตี AWS” เธอกล่าว “เราคาดหวังได้ว่าผู้แสดงเหล่านี้จะนำกรอบการแสวงหาผลประโยชน์ที่ประสบความสำเร็จอื่น ๆ มาใช้”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google