AWS کلاؤڈ کریڈینشل اسٹیلنگ مہم Azure، Google Cloud تک پھیل گئی۔

گزشتہ کئی مہینوں سے ایمیزون ویب سروسز (AWS) کے ماحول کو نشانہ بنانے والی ایک جدید ترین کلاؤڈ اسناد کی چوری اور کرپٹو مائننگ مہم اب Azure اور Google Cloud Platform (GCP) تک بھی پھیل گئی ہے۔ اور، مہم میں استعمال ہونے والے ٹولز ٹیم ٹی این ٹی سے وابستہ افراد کے ساتھ کافی حد تک اوورلیپ کا اشتراک کرتے ہیں، جو ایک بدنام زمانہ، مالی طور پر حوصلہ افزائی کرنے والے خطرے والے اداکار ہیں، محققین نے طے کیا ہے۔

پر محققین کے مطابق، وسیع تر ہدف بندی جون میں شروع ہوئی دکھائی دیتی ہے۔ سینٹینیل اور معذرت، اور بڑھتی ہوئی اصلاحات کے ایک مسلسل سلسلے کے ساتھ مطابقت رکھتا ہے جو مہم کے پیچھے خطرہ اداکار دسمبر میں حملوں کا سلسلہ شروع ہونے کے بعد سے بنا رہا ہے۔

الگ الگ رپورٹس میں ان کے اہم اقدامات کو اجاگر کرتے ہوئے، فرموں نے نوٹ کیا کہ Azure اور Google کی کلاؤڈ سروسز کو نشانہ بنانے والے حملوں میں وہی بنیادی حملہ اسکرپٹ شامل ہیں جو اس کے پیچھے خطرہ گروپ AWS مہم میں استعمال کر رہا ہے۔ تاہم، Azure اور GCP کی صلاحیتیں AWS ٹولنگ کے مقابلے میں بہت جدید اور کم ترقی یافتہ ہیں، سینٹینیل ون کے خطرے کے محقق الیکس ڈیلاموٹ کہتے ہیں۔ 

وہ کہتی ہیں، "اداکارہ نے صرف Azure کریڈینشل کلیکشن ماڈیول کو حالیہ — 24 جون اور اس سے بھی نئے حملوں میں لاگو کیا،" وہ کہتی ہیں۔ "ترقی مسلسل رہی ہے، اور ہم ممکنہ طور پر دیکھیں گے کہ آنے والے ہفتوں میں مزید ٹولز ان ماحول کے لیے مخصوص آٹومیشن کے ساتھ ابھرتے ہیں، اگر حملہ آور کو ان کے لیے کوئی قیمتی سرمایہ کاری مل جائے۔"

سائبر جرائم پیشہ ڈاکر کے بے نقاب واقعات کے بعد جا رہے ہیں۔

ٹیم ٹی این ٹی تھریٹ گروپ بے نقاب کلاؤڈ سروسز کو نشانہ بنانے اور ترقی کی منازل طے کرنے کے لیے مشہور ہے۔ کلاؤڈ غلط کنفیگریشنز اور کمزوریوں کا فائدہ اٹھانا. جب کہ ٹیم ٹی این ٹی نے ابتدائی طور پر کرپٹو مائننگ مہمات پر توجہ مرکوز کی، اس نے حال ہی میں ڈیٹا چوری اور بیک ڈور تعیناتی کی سرگرمیوں میں بھی توسیع کی ہے، جس کی تازہ ترین سرگرمی ظاہر کرتی ہے۔ 

اس سلسلے میں، سینٹینیل ون اور پرمیسو کے مطابق، حملہ آور نے پچھلے مہینے سے بے نقاب ڈوکر سروسز کو نشانہ بنانا شروع کر دیا ہے، جس میں نئے ترمیم شدہ شیل اسکرپٹس کا استعمال کیا گیا ہے جو اس ماحول کا تعین کرنے کے لیے بنائے گئے ہیں جس میں وہ موجود ہیں، سسٹم کی پروفائلنگ، اسناد کی فائلوں کی تلاش، اور باہر نکلنا۔ انہیں سینٹائن ون کے محققین نے کہا کہ اسکرپٹس میں ماحولیاتی متغیر کی تفصیلات جمع کرنے کے لیے ایک فنکشن بھی ہوتا ہے، جس کا استعمال ممکنہ طور پر اس بات کا تعین کرنے کے لیے کیا جاتا ہے کہ آیا بعد میں ہدف بنانے کے لیے سسٹم پر کوئی اور قیمتی خدمات موجود ہیں۔

ڈیلاموٹ کا کہنا ہے کہ حملہ آور کا ٹول سیٹ سروس کے ماحول کی معلومات کو شمار کرتا ہے قطع نظر اس کے کہ بنیادی کلاؤڈ سروس فراہم کنندہ سے ہو۔ "صرف آٹومیشن جو ہم نے Azure یا GCP کے لیے دیکھی، وہ اسناد کی کٹائی سے متعلق تھی۔ کوئی بھی فالو آن سرگرمی ممکنہ طور پر ہینڈ آن کی بورڈ ہے۔

نتائج نے ایکوا سیکیورٹی کی تحقیق میں اضافہ کیا جو حال ہی میں ظاہر ہوا ہے۔ عوام کا سامنا کرنے والے Docker اور JupyterLab APIs کو نشانہ بنانے والی بدنیتی پر مبنی سرگرمی. ایکوا کے محققین نے اس سرگرمی کو - اعلیٰ سطح کے اعتماد کے ساتھ - TeamTNT سے منسوب کیا۔ 

کلاؤڈ ورمز کو تعینات کرنا

انہوں نے اندازہ لگایا کہ دھمکی آمیز اداکار AWS ماحول میں تعینات کرنے کے لیے ایک "جارحانہ کلاؤڈ ورم" تیار کر رہا تھا، جس کا مقصد کلاؤڈ اسناد کی چوری، وسائل کے اغوا، اور "سونامی" نامی بیک ڈور کی تعیناتی کو آسان بنانا تھا۔

اسی طرح، سینٹینیل ون اور پرمیسو کے ابھرتے ہوئے خطرے کے مشترکہ تجزیے سے پتہ چلتا ہے کہ پہلے کے حملوں کے شیل اسکرپٹ کے علاوہ، ٹیم ٹی این ٹی اب UPX سے بھرے، گولانگ پر مبنی ELF بائنری فراہم کر رہی ہے۔ بائنری بنیادی طور پر حملہ آور کی مخصوص رینج کو اسکین کرنے اور دوسرے کمزور اہداف تک پھیلانے کے لیے ایک اور شیل اسکرپٹ کو ڈراپ اور اس پر عمل درآمد کرتی ہے۔

ڈیلاموٹ کا کہنا ہے کہ یہ کیڑے پھیلانے کا طریقہ کار ایک مخصوص ڈوکر ورژن صارف ایجنٹ کے ساتھ جواب دینے والے نظاموں کی تلاش کرتا ہے۔ یہ ڈاکر مثالیں Azure یا GCP کے ذریعے ہوسٹ کی جا سکتی ہیں۔ "دیگر رپورٹس نوٹ کرتی ہیں کہ یہ اداکار عوام کو سامنا کرنے والی Jupyter خدمات کا استحصال کرتے ہیں، جہاں وہی تصورات لاگو ہوتے ہیں،" ڈیلاموٹ کا کہنا ہے کہ، انہوں نے مزید کہا کہ ان کا خیال ہے کہ ٹیم ٹی این ٹی فی الحال صرف اپنے ٹولز کو Azure اور GCP ماحول میں آزما رہی ہے بجائے اس کے کہ متاثرین پر مخصوص مقاصد حاصل کرنے کی کوشش کریں۔ نظام

پس منظر کی نقل و حرکت کے محاذ پر بھی، Sysdig نے گزشتہ ہفتے ایک رپورٹ کو اپ ڈیٹ کیا تھا جو اس کی پہلی بار دسمبر میں شائع ہوئی تھی، جس میں ScarletEel کلاؤڈ اسناد کی چوری اور Cryptomining مہم کی نئی تفصیلات کے ساتھ AWS اور Kubernetes سروسز کو نشانہ بنایا گیا تھا، جسے SentinelOne اور Permiso نے TeamTNT سرگرمی سے منسلک کیا ہے۔ Sysdig نے طے کیا کہ مہم کے بنیادی اہداف میں سے ایک AWS اسناد کو چرانا اور ان کا استعمال کرنا ہے۔ شکار کے ماحول کا مزید استحصال میلویئر انسٹال کرکے، وسائل چوری کرکے، اور دیگر بدنیتی پر مبنی سرگرمیاں انجام دے کر۔ 

AWS ماحول کے خلاف حملے جیسے کہ Sysdig نے اطلاع دی ہے کہ AWS استحصالی فریم ورک کا استعمال شامل ہے، بشمول Pacu، Delamotte Notes۔ Azure اور GCP استعمال کرنے والے اداروں کو یہ فرض کرنا چاہیے کہ ان کے ماحول کے خلاف حملوں میں اسی طرح کے فریم ورک شامل ہوں گے۔ وہ اس بات کی وکالت کرتی ہیں کہ منتظمین اپنی ریڈ ٹیموں کے ساتھ بات کرتے ہیں تاکہ یہ سمجھ سکیں کہ ان پلیٹ فارمز کے خلاف کون سے اٹیک فریم ورک بہتر کام کرتے ہیں۔ 

"Pacu AWS پر حملہ کرنے کے لیے ایک مشہور ریڈ ٹیم پسندیدہ ہے،" وہ کہتی ہیں۔ "ہم توقع کر سکتے ہیں کہ یہ اداکار دوسرے کامیاب استحصالی فریم ورک کو اپنائیں گے۔"

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/cloud/aws-cloud-credential-stealing-campaign-spreads-azure-google