Складна хмарна кампанія з крадіжки облікових даних і криптомайнінгу, націлена на середовища Amazon Web Services (AWS) протягом останніх кількох місяців, тепер також поширилася на Azure та Google Cloud Platform (GCP). Крім того, дослідники встановили, що інструменти, які використовуються в кампанії, значно збігаються з інструментами, пов’язаними з TeamTNT, сумнозвісною, фінансово мотивованою загрозою.
Згідно з даними дослідників, ширше націлювання, здається, почалося в червні SentinelOne та Перепрошую, і узгоджується з безперервною серією поступових удосконалень, які загрозливий суб’єкт, що стоїть за кампанією, вносив у нього з моменту початку серії атак у грудні.
В окремих звітах, у яких висвітлюються їхні ключові висновки, фірми зазначили, що атаки, націлені на хмарні сервіси Azure та Google, включають ті самі сценарії атак на ядро, які група загроз, що стоїть за нею, використовувала в кампанії AWS. Проте можливості Azure та GCP є лише зародковими та менш розвиненими, ніж інструменти AWS, каже Алекс Деламотт, дослідник загроз у SentinelOne.
«Актор застосував модуль збору облікових даних Azure лише під час останніх атак — 24 червня та пізніше», — каже вона. «Розробка була послідовною, і ми, ймовірно, побачимо, що протягом найближчих тижнів з’явиться більше інструментів із індивідуальною автоматизацією для цих середовищ, якщо зловмисник вважатиме їх цінною інвестицією».
Кіберзлочинці переслідують викриті екземпляри Docker
Група загроз TeamTNT добре відома тим, що націлена на відкриті хмарні служби, і процвітає використання неправильних конфігурацій і вразливостей хмари. Хоча TeamTNT спочатку зосереджувався на кампаніях з криптомайнінгу, останнім часом він розширився також на крадіжки даних і розгортання бекдорів, що відображає остання діяльність.
У цьому ключі, за даними SentinelOne і Permiso, минулого місяця зловмисник почав націлюватися на розкриті служби Docker, використовуючи нещодавно модифіковані сценарії оболонки, розроблені для визначення середовища, у якому вони знаходяться, профілювання систем, пошуку файлів облікових даних і викрадання їх. Дослідники SentineOne повідомили, що сценарії також містять функцію для збору деталей змінних середовища, які, ймовірно, використовуються для визначення, чи є в системі інші цінні служби для націлювання пізніше.
За словами Деламотта, набір інструментів зловмисника перераховує інформацію про середовище обслуговування незалежно від основного постачальника хмарних послуг. «Єдина автоматизація, яку ми бачили для Azure або GCP, була пов’язана зі збором облікових даних. Будь-яка подальша діяльність, ймовірно, буде практичною роботою з клавіатури».
Отримані результати доповнюють нещодавні дослідження Aqua Security зловмисна діяльність, спрямована на загальнодоступні API Docker і JupyterLab. Дослідники Aqua приписали цю діяльність — з високим рівнем впевненості — TeamTNT.
Розгортання Cloud Worms
Вони оцінили, що зловмисник готував «агресивного хмарного хробака», призначеного для розгортання в середовищах AWS, з метою сприяння крадіжці облікових даних у хмарі, захопленню ресурсів і розгортанню бекдору під назвою «Цунамі».
Аналогічно, спільний аналіз загрози, що розвивається, SentinelOne і Permiso показав, що на додаток до сценаріїв оболонки від попередніх атак, TeamTNT тепер надає двійковий ELF-файл на основі UPX на основі Golang. Двійковий файл фактично видаляє та виконує інший сценарій оболонки для сканування вказаного зловмисником діапазону та поширення на інші вразливі цілі.
За словами Деламотта, цей механізм розповсюдження гельмінтів шукає системи, які відповідають певним агентом користувача версії Docker. Ці екземпляри Docker можуть бути розміщені через Azure або GCP. «Інші звіти зазначають, що ці суб’єкти використовують загальнодоступні служби Jupyter, де застосовуються ті самі концепції», — каже Деламотт, додаючи, що вона вважає, що TeamTNT наразі лише тестує свої інструменти в середовищі Azure та GCP, а не прагне досягти конкретних цілей на постраждалих системи.
Минулого тижня Sysdig також оновив звіт, опублікований у грудні, з новими деталями хмарної кампанії з крадіжки облікових даних ScarletEel і криптомайнінгу, спрямованої на сервіси AWS і Kubernetes, які SentinelOne і Permiso пов’язали з діяльністю TeamTNT. Sysdig визначив, що однією з головних цілей кампанії є викрадення облікових даних AWS і використання їх для далі використовувати оточення жертви встановлюючи зловмисне програмне забезпечення, викрадаючи ресурси та здійснюючи інші шкідливі дії.
Атаки, подібні до атаки на середовища AWS, про яку повідомляє Sysdig, передбачають використання відомих фреймворків експлуатації AWS, у тому числі під назвою Pacu, зазначає Деламотт. Організаціям, які використовують Azure та GCP, слід припускати, що атаки на їхні середовища включатимуть подібні структури. Вона виступає за те, щоб адміністратори спілкувалися зі своїми червоними командами, щоб зрозуміти, які фреймворки атак добре працюють проти цих платформ.
«Паку — відомий фаворит червоної команди для нападу на AWS», — каже вона. «Ми можемо очікувати, що ці гравці запровадять інші успішні схеми експлуатації».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google
- : має
- :є
- :де
- 24
- 7
- a
- За
- Achieve
- діяльності
- діяльність
- актори
- додавати
- додати
- доповнення
- Адміністратори
- прийняти
- прихильники
- після
- проти
- агресивний
- Alex
- Також
- Amazon
- Amazon Web Services
- Веб-служби Amazon (AWS)
- an
- аналіз
- та
- Інший
- будь-який
- з'являється
- Застосовувати
- вода
- ЕСТЬ
- AS
- оцінюється
- асоційований
- припустити
- At
- атака
- Атакуючий
- нападки
- Автоматизація
- AWS
- Лазурний
- закулісний
- В основному
- BE
- було
- почався
- за
- вважає,
- замовляти
- ширше
- by
- званий
- Кампанія
- Кампанії
- CAN
- можливості
- проведення
- хмара
- Хмарна платформа
- хмарні сервіси
- Збір
- збір
- майбутній
- найближчі тижні
- поняття
- довіра
- значний
- послідовний
- містити
- безперервний
- Core
- може
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- В даний час
- дані
- Грудень
- надання
- розгортання
- розгортання
- призначений
- деталі
- Визначати
- певний
- розвиненою
- розробка
- Docker
- краплі
- Раніше
- ельф
- з'являтися
- Навколишнє середовище
- середовищах
- еволюціонує
- Виконує
- розширений
- очікувати
- Експлуатувати
- експлуатація
- піддаватися
- сприяння
- Улюблений
- Файли
- фінансово
- знайти
- результати
- фірми
- Перший
- увагу
- для
- каркаси
- від
- перед
- функція
- мета
- Цілі
- буде
- Google Cloud
- Google Cloud Platform
- Group
- збирання врожаю
- Мати
- Високий
- виділивши
- відбувся
- Однак
- HTTPS
- if
- вплив
- реалізовані
- in
- У тому числі
- інформація
- спочатку
- установка
- в
- інвестиції
- залучати
- IT
- ЙОГО
- спільна
- JPG
- червень
- ключ
- відомий
- останній
- пізніше
- останній
- менше
- рівень
- як
- Ймовірно
- пов'язаний
- шукати
- ВИГЛЯДИ
- Робить
- шкідливих програм
- механізм
- просто
- модифікований
- Модулі
- місяць
- місяців
- більше
- мотивовані
- руху
- зародження
- Нові
- нещодавно
- зазначив,
- примітки
- горезвісний
- зараз
- цілей
- of
- on
- ONE
- тільки
- or
- Інше
- з
- над
- Минуле
- платформа
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- первинний
- профіль
- Постачальник
- опублікований
- діапазон
- швидше
- останній
- нещодавно
- червоний
- Відображає
- Незалежно
- пов'язаний
- звітом
- Повідомляється
- Звіти
- дослідження
- дослідник
- Дослідники
- ресурс
- ресурси
- відповідаючи
- s
- Зазначений
- то ж
- бачив
- говорить
- сканування
- scripts
- Пошук
- побачити
- окремий
- Серія
- обслуговування
- Постачальник послуг
- Послуги
- кілька
- Поділитись
- вона
- Склад
- Повинен
- показав
- аналогічний
- з
- складний
- говорити
- конкретний
- Спреди
- успішний
- система
- Systems
- Takeaways
- Мета
- націлювання
- цілі
- команда
- команди
- Тестування
- ніж
- Що
- Команда
- крадіжка
- їх
- Їх
- Там.
- Ці
- вони
- ті
- загроза
- через
- до
- інструменти
- Цунамі
- що лежить в основі
- розуміти
- оновлений
- використання
- використовуваний
- використання
- Цінний
- версія
- дуже
- Жертва
- Вразливий
- було
- we
- Web
- веб-сервіси
- week
- тижня
- ДОБРЕ
- Що
- який
- в той час як
- волі
- з
- Work
- черв'як
- зефірнет