过去几个月针对 Amazon Web Services (AWS) 环境的复杂云凭证窃取和加密挖矿活动现已扩展到 Azure 和 Google Cloud Platform (GCP)。研究人员确定,该活动中使用的工具与 TeamTNT 相关的工具有相当大的重叠,TeamTNT 是一个臭名昭著的、出于经济动机的威胁行为者。
据研究人员称,更广泛的目标似乎已于 6 月开始 哨兵一号 和 对不起,并且与该活动背后的威胁行为者自去年 12 月开始一系列攻击以来一直对其进行的一系列连续渐进式改进是一致的。
在强调其关键要点的单独报告中,这些公司指出,针对 Azure 和谷歌云服务的攻击涉及其背后的威胁组织在 AWS 活动中使用的相同核心攻击脚本。不过,SentinelOne 威胁研究员 Alex Delamotte 表示,Azure 和 GCP 功能还处于萌芽状态,而且比 AWS 工具还不够成熟。
“攻击者仅在最近的 24 月 XNUMX 日及更新的攻击中实施了 Azure 凭据收集模块,”她说。 “发展一直是一致的,如果攻击者发现它们是一项有价值的投资,我们可能会在未来几周内看到更多针对这些环境的定制自动化工具出现。”
网络犯罪分子追捕暴露的 Docker 实例
TeamTNT 威胁组织因针对暴露的云服务而闻名,并在以下方面蓬勃发展: 利用云错误配置和漏洞。虽然 TeamTNT 最初专注于加密货币挖矿活动,但最近它也扩展到数据盗窃和后门部署活动,最新的活动就反映了这一点。
据 SentinelOne 和 Permiso 称,从上个月开始,攻击者已开始针对暴露的 Docker 服务,使用新修改的 shell 脚本来确定它们所处的环境、分析系统、搜索凭证文件并进行渗透。他们。 SentineOne 研究人员表示,这些脚本还包含一个收集环境变量详细信息的功能,可能用于确定系统上是否还有其他有价值的服务可供稍后定位。
Delamotte 表示,无论底层云服务提供商如何,攻击者的工具集都会枚举服务环境信息。 “我们在 Azure 或 GCP 中看到的唯一自动化与凭据收集有关。任何后续活动都可能是动手操作键盘。”
这些发现补充了 Aqua Security 最近的研究 针对面向公众的 Docker 和 JupyterLab API 的恶意活动。 Aqua 研究人员高度自信地将此活动归因于 TeamTNT。
部署云蠕虫
他们评估威胁行为者正在准备一种“攻击性云蠕虫”,旨在部署在 AWS 环境中,目的是促进云凭证盗窃、资源劫持以及部署名为“海啸”的后门。
同样,SentinelOne 和 Permiso 对不断演变的威胁的联合分析表明,除了早期攻击的 shell 脚本之外,TeamTNT 现在还提供一个经过 UPX 打包、基于 Golang 的 ELF 二进制文件。该二进制文件基本上会删除并执行另一个 shell 脚本,用于扫描攻击者指定的范围并传播到其他易受攻击的目标。
Delamotte 说,这种蠕虫传播机制会寻找使用特定 Docker 版本用户代理进行响应的系统。这些 Docker 实例可以通过 Azure 或 GCP 托管。 Delamotte 表示:“其他报告指出,这些行为者利用了面向公众的 Jupyter 服务,其中应用了相同的概念。”她补充说,她认为 TeamTNT 目前只是在 Azure 和 GCP 环境中测试其工具,而不是寻求实现受影响的特定目标。系统。
同样在横向移动方面,Sysdig 上周更新了 12 月首次发布的报告,其中包含针对 AWS 和 Kubernetes 服务的 ScarletEel 云凭证窃取和加密货币挖矿活动的新细节,SentinelOne 和 Permiso 已将这些活动与 TeamTNT 活动联系起来。 Sysdig 确定该活动的主要目标之一是窃取 AWS 凭证并使用它们来 进一步利用受害者的环境 通过安装恶意软件、窃取资源以及执行其他恶意活动。
Delamotte 指出,像 Sysdig 报告的针对 AWS 环境的攻击涉及使用已知的 AWS 漏洞利用框架,其中包括一种名为 Pacu 的攻击。使用 Azure 和 GCP 的组织应该假设针对其环境的攻击将涉及类似的框架。她主张管理员与他们的红队交谈,以了解哪些攻击框架可以很好地对抗这些平台。
“Pacu 是众所周知的攻击 AWS 的红队最爱,”她说。 “我们可以预期这些参与者将采用其他成功的利用框架。”
- :具有
- :是
- :在哪里
- 24
- 7
- a
- 根据
- 活动
- 活动
- 演员
- 加
- 添加
- 增加
- 管理员
- 采用
- 倡导者
- 后
- 驳
- 侵略性
- 亚历克斯
- 还
- Amazon
- 亚马逊网络服务
- 亚马逊网络服务(AWS)
- an
- 分析
- 和
- 另一个
- 任何
- 出现
- 使用
- 旱厕
- 保健
- AS
- 评估
- 相关
- 承担
- At
- 攻击
- 攻击
- 攻击
- 自动化和干细胞工程
- AWS
- Azure
- 后门
- 基本上
- BE
- 很
- 开始
- 背后
- 相信
- 不啻
- 更广泛
- by
- 被称为
- 营销活动
- 活动
- CAN
- 能力
- 携带
- 云端技术
- 云计算平台
- 云服务
- 收藏
- 采集
- 未来
- 未来几周
- 概念
- 信心
- 大量
- 一贯
- 包含
- 连续
- 核心
- 可以
- 凭据
- 资历
- 目前
- data
- 十二月
- 交付
- 部署
- 部署
- 设计
- 详情
- 确定
- 决心
- 发达
- 研发支持
- 码头工人
- 滴
- 此前
- 小精灵
- 出现
- 环境
- 环境中
- 演变
- 执行
- 扩大
- 期望
- 利用
- 开发
- 裸露
- 促进
- 喜爱
- 档
- 经济
- 找到最适合您的地方
- 发现
- 企业
- (名字)
- 重点
- 针对
- 框架
- 止
- 前
- 功能
- 目标
- 理想中
- 去
- 谷歌
- 谷歌云
- 谷歌云平台
- 团队
- 野生捕捞
- 有
- 高
- 突出
- 托管
- 但是
- HTTPS
- if
- 影响
- 实施
- in
- 包含
- 信息
- 原来
- 安装
- 成
- 投资
- 涉及
- IT
- 它的
- 联合
- JPG
- 六月
- 键
- 已知
- (姓氏)
- 后来
- 最新
- 减
- Level
- 喜欢
- 容易
- 链接
- 寻找
- LOOKS
- 制作
- 恶意软件
- 机制
- 仅仅
- 改性
- 模块
- 月
- 个月
- 更多
- 动机
- 运动
- 新生的
- 全新
- 新
- 注意到
- 臭名昭著
- 现在
- 目标
- of
- on
- 一
- 仅由
- or
- 其他名称
- 输出
- 超过
- 过去
- 平台
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 小学
- 本人简介
- 提供者
- 出版
- 范围
- 宁
- 最近
- 最近
- 红色
- 反映
- 而不管
- 有关
- 报告
- 报道
- 业务报告
- 研究
- 研究员
- 研究人员
- 资源
- 资源
- 回应
- s
- 说
- 同
- 锯
- 说
- 扫描
- 脚本
- 搜索
- 看到
- 分开
- 系列
- 服务
- 服务供应商
- 特色服务
- 几个
- Share
- 她
- 壳
- 应该
- 显示
- 类似
- 自
- 极致
- 说话
- 具体的
- 价差
- 成功
- 系统
- 产品
- 投资讯息
- 目标
- 瞄准
- 目标
- 团队
- 队
- 测试
- 比
- 这
- 盗窃
- 其
- 他们
- 那里。
- 博曼
- 他们
- 那些
- 威胁
- 通过
- 至
- 工具
- 海啸
- 相关
- 理解
- 更新
- 使用
- 用过的
- 运用
- 有价值
- 版本
- 非常
- 受害者
- 脆弱
- 是
- we
- 卷筒纸
- Web服务
- 周
- 周
- 井
- 什么是
- 这
- 而
- 将
- 工作
- 蠕虫
- 和风网
