AWS Cloud Kimlik Bilgisi Çalma Kampanyası Azure ve Google Cloud'a Yayılıyor

Son birkaç aydır Amazon Web Services (AWS) ortamlarını hedef alan karmaşık bulut kimlik bilgileri çalma ve kripto madencilik kampanyası artık Azure ve Google Cloud Platform'u (GCP) de kapsayacak şekilde genişletildi. Araştırmacılar, kampanyada kullanılan araçların, kötü şöhretli, finansal motivasyona sahip bir tehdit aktörü olan TeamTNT ile ilişkili araçlarla önemli ölçüde örtüştüğünü belirledi.

Araştırmacılara göre daha geniş hedefleme Haziran ayında başlamış görünüyor. SentinelBir ve Affedersinizve kampanyanın arkasındaki tehdit aktörünün, saldırı dizisinin Aralık ayında başlamasından bu yana yaptığı sürekli artan iyileştirmeler dizisiyle tutarlıdır.

Firmalar, önemli çıkarımlarını vurgulayan ayrı raporlarda, Azure ve Google'ın bulut hizmetlerini hedef alan saldırıların, arkasındaki tehdit grubunun AWS kampanyasında kullandığı temel saldırı komut dosyalarının aynısını içerdiğini belirtti. Ancak SentinelOne tehdit araştırmacısı Alex Delamotte, Azure ve GCP yeteneklerinin çok yeni olduğunu ve AWS araçlarına göre daha az gelişmiş olduğunu söylüyor. 

"Aktör, Azure kimlik bilgisi toplama modülünü yalnızca daha yakın tarihli (24 Haziran ve daha yeni) saldırılarda uyguladı" diyor. "Geliştirme tutarlıydı ve saldırganın bunları değerli bir yatırım olarak görmesi halinde, muhtemelen önümüzdeki haftalarda bu ortamlar için özel otomasyonlara sahip daha fazla aracın ortaya çıktığını göreceğiz."

Siber suçlular açığa çıkan Docker örneklerinin peşine düşüyor

TeamTNT tehdit grubu, açığa çıkan bulut hizmetlerini hedeflemesiyle tanınıyor ve bu konuda başarılı oluyor. Buluttaki yanlış yapılandırmalardan ve güvenlik açıklarından yararlanma. TeamTNT başlangıçta kripto madenciliği kampanyalarına odaklanırken, son zamanlarda veri hırsızlığı ve arka kapı dağıtım faaliyetlerine de genişledi ve bu da son faaliyetlerin bir yansıması. 

Bu doğrultuda, SentinelOne ve Permiso'ya göre saldırgan, içinde bulundukları ortamı belirlemek, sistemlerin profilini çıkarmak, kimlik bilgisi dosyalarını aramak ve sızmak için tasarlanmış yeni değiştirilmiş kabuk komut dosyalarını kullanarak geçen aydan itibaren açığa çıkan Docker hizmetlerini hedeflemeye başladı. onlara. SentineOne araştırmacıları, komut dosyalarının ayrıca, muhtemelen sistemde daha sonra hedeflenecek başka değerli hizmetler olup olmadığını belirlemek için kullanılan ortam değişkeni ayrıntılarını toplamaya yönelik bir işlev içerdiğini söyledi.

Delamotte, saldırganın araç setinin, temeldeki bulut hizmet sağlayıcısından bağımsız olarak hizmet ortamı bilgilerini sıraladığını söylüyor. "Azure veya GCP için gördüğümüz tek otomasyon, kimlik bilgileri toplamayla ilgiliydi. Devam eden herhangi bir aktivite muhtemelen klavyede uygulamalı olarak gerçekleştirilecektir.

Bulgular, Aqua Security'nin yakın zamanda ortaya koyduğu araştırmaya katkıda bulunuyor: Herkese açık Docker ve JupyterLab API'lerini hedef alan kötü amaçlı etkinlik. Aqua araştırmacıları bu aktiviteyi büyük bir güvenle TeamTNT'ye bağladılar. 

Bulut Solucanlarını Dağıtma

Tehdit aktörünün, bulut kimlik bilgilerinin çalınmasını, kaynakların ele geçirilmesini ve "Tsunami" adı verilen bir arka kapının konuşlandırılmasını kolaylaştırmak amacıyla AWS ortamlarında dağıtılmak üzere tasarlanmış "agresif bir bulut solucanı" hazırladığını değerlendirdiler.

Benzer şekilde, SentinelOne ve Permiso'nun gelişen tehdide ilişkin ortak analizi, TeamTNT'nin daha önceki saldırılardaki kabuk komut dosyalarına ek olarak artık UPX paketli, Golang tabanlı bir ELF ikili dosyası da sunduğunu gösterdi. İkili sistem temel olarak saldırganın belirlediği bir aralığı taramak ve diğer savunmasız hedeflere yayılmak için başka bir kabuk komut dosyasını bırakır ve çalıştırır.

Delamotte, bu solucan yayılma mekanizmasının belirli bir Docker sürümü kullanıcı aracısıyla yanıt veren sistemleri aradığını söylüyor. Bu Docker örnekleri Azure veya GCP aracılığıyla barındırılabilir. Delamotte, "Diğer raporlar, bu aktörlerin, aynı kavramların geçerli olduğu, halka açık Jupyter hizmetlerinden yararlandığını belirtiyor" diyor ve TeamTNT'nin etkilenen bölgelerde belirli hedeflere ulaşmak yerine şu anda yalnızca Azure ve GCP ortamında araçlarını test ettiğine inandığını ekliyor. sistemler.

Ayrıca yanal hareket cephesinde Sysdig, geçtiğimiz hafta, SentinelOne ve Permiso'nun TeamTNT etkinliğine bağladığı, AWS ve Kubernetes hizmetlerini hedef alan ScarletEel bulut kimlik bilgileri çalma ve kripto madencilik kampanyasının yeni ayrıntılarını içeren, ilk olarak Aralık ayında yayınladığı bir raporu güncelledi. Sysdig, kampanyanın birincil hedeflerinden birinin AWS kimlik bilgilerini çalmak ve bunları kullanarak kurbanın ortamından daha fazla yararlanmak Kötü amaçlı yazılım yükleyerek, kaynakları çalarak ve diğer kötü amaçlı etkinlikleri gerçekleştirerek. 

Delamotte, Sysdig'in bildirdiği AWS ortamlarına yönelik saldırılara benzer saldırıların, Pacu da dahil olmak üzere bilinen AWS istismar çerçevelerinin kullanımını içerdiğini belirtiyor. Azure ve GCP kullanan kuruluşlar, ortamlarına yönelik saldırıların benzer çerçeveleri içereceğini varsaymalıdır. Yöneticilerin, bu platformlara karşı hangi saldırı çerçevelerinin iyi çalıştığını anlamak için kırmızı ekipleriyle konuşmasını savunuyor. 

"Pacu, AWS'ye saldırmak için kırmızı takımın favorisi olarak biliniyor" diyor. "Bu aktörlerin diğer başarılı sömürü çerçevelerini benimsemesini bekleyebiliriz."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google