Кампанія крадіжки облікових даних AWS Cloud поширюється на Azure, Google Cloud

Складна хмарна кампанія з крадіжки облікових даних і криптомайнінгу, націлена на середовища Amazon Web Services (AWS) протягом останніх кількох місяців, тепер також поширилася на Azure та Google Cloud Platform (GCP). Крім того, дослідники встановили, що інструменти, які використовуються в кампанії, значно збігаються з інструментами, пов’язаними з TeamTNT, сумнозвісною, фінансово мотивованою загрозою.

Згідно з даними дослідників, ширше націлювання, здається, почалося в червні SentinelOne та Перепрошую, і узгоджується з безперервною серією поступових удосконалень, які загрозливий суб’єкт, що стоїть за кампанією, вносив у нього з моменту початку серії атак у грудні.

В окремих звітах, у яких висвітлюються їхні ключові висновки, фірми зазначили, що атаки, націлені на хмарні сервіси Azure та Google, включають ті самі сценарії атак на ядро, які група загроз, що стоїть за нею, використовувала в кампанії AWS. Проте можливості Azure та GCP є лише зародковими та менш розвиненими, ніж інструменти AWS, каже Алекс Деламотт, дослідник загроз у SentinelOne. 

«Актор застосував модуль збору облікових даних Azure лише під час останніх атак — 24 червня та пізніше», — каже вона. «Розробка була послідовною, і ми, ймовірно, побачимо, що протягом найближчих тижнів з’явиться більше інструментів із індивідуальною автоматизацією для цих середовищ, якщо зловмисник вважатиме їх цінною інвестицією».

Кіберзлочинці переслідують викриті екземпляри Docker

Група загроз TeamTNT добре відома тим, що націлена на відкриті хмарні служби, і процвітає використання неправильних конфігурацій і вразливостей хмари. Хоча TeamTNT спочатку зосереджувався на кампаніях з криптомайнінгу, останнім часом він розширився також на крадіжки даних і розгортання бекдорів, що відображає остання діяльність. 

У цьому ключі, за даними SentinelOne і Permiso, минулого місяця зловмисник почав націлюватися на розкриті служби Docker, використовуючи нещодавно модифіковані сценарії оболонки, розроблені для визначення середовища, у якому вони знаходяться, профілювання систем, пошуку файлів облікових даних і викрадання їх. Дослідники SentineOne повідомили, що сценарії також містять функцію для збору деталей змінних середовища, які, ймовірно, використовуються для визначення, чи є в системі інші цінні служби для націлювання пізніше.

За словами Деламотта, набір інструментів зловмисника перераховує інформацію про середовище обслуговування незалежно від основного постачальника хмарних послуг. «Єдина автоматизація, яку ми бачили для Azure або GCP, була пов’язана зі збором облікових даних. Будь-яка подальша діяльність, ймовірно, буде практичною роботою з клавіатури».

Отримані результати доповнюють нещодавні дослідження Aqua Security зловмисна діяльність, спрямована на загальнодоступні API Docker і JupyterLab. Дослідники Aqua приписали цю діяльність — з високим рівнем впевненості — TeamTNT. 

Розгортання Cloud Worms

Вони оцінили, що зловмисник готував «агресивного хмарного хробака», призначеного для розгортання в середовищах AWS, з метою сприяння крадіжці облікових даних у хмарі, захопленню ресурсів і розгортанню бекдору під назвою «Цунамі».

Аналогічно, спільний аналіз загрози, що розвивається, SentinelOne і Permiso показав, що на додаток до сценаріїв оболонки від попередніх атак, TeamTNT тепер надає двійковий ELF-файл на основі UPX на основі Golang. Двійковий файл фактично видаляє та виконує інший сценарій оболонки для сканування вказаного зловмисником діапазону та поширення на інші вразливі цілі.

За словами Деламотта, цей механізм розповсюдження гельмінтів шукає системи, які відповідають певним агентом користувача версії Docker. Ці екземпляри Docker можуть бути розміщені через Azure або GCP. «Інші звіти зазначають, що ці суб’єкти використовують загальнодоступні служби Jupyter, де застосовуються ті самі концепції», — каже Деламотт, додаючи, що вона вважає, що TeamTNT наразі лише тестує свої інструменти в середовищі Azure та GCP, а не прагне досягти конкретних цілей на постраждалих системи.

Минулого тижня Sysdig також оновив звіт, опублікований у грудні, з новими деталями хмарної кампанії з крадіжки облікових даних ScarletEel і криптомайнінгу, спрямованої на сервіси AWS і Kubernetes, які SentinelOne і Permiso пов’язали з діяльністю TeamTNT. Sysdig визначив, що однією з головних цілей кампанії є викрадення облікових даних AWS і використання їх для далі використовувати оточення жертви встановлюючи зловмисне програмне забезпечення, викрадаючи ресурси та здійснюючи інші шкідливі дії. 

Атаки, подібні до атаки на середовища AWS, про яку повідомляє Sysdig, передбачають використання відомих фреймворків експлуатації AWS, у тому числі під назвою Pacu, зазначає Деламотт. Організаціям, які використовують Azure та GCP, слід припускати, що атаки на їхні середовища включатимуть подібні структури. Вона виступає за те, щоб адміністратори спілкувалися зі своїми червоними командами, щоб зрозуміти, які фреймворки атак добре працюють проти цих платформ. 

«Паку — відомий фаворит червоної команди для нападу на AWS», — каже вона. «Ми можемо очікувати, що ці гравці запровадять інші успішні схеми експлуатації».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google