adlı sofistike bir saldırı kampanyası kızılçelik özel veri ve yazılım hırsızlığını gerçekleştirmek için kapsayıcılı ortamları hedefliyor.
Sysdig, “Saldırgan, kapsayıcılı bir iş yükünden yararlandı ve ardından özel mülk yazılımları ve kimlik bilgilerini çalmak amacıyla bir AWS hesabına ayrıcalık yükseltmesi gerçekleştirmek için bundan yararlandı.” söz konusu yeni bir raporda.
Gelişmiş bulut saldırısı, siber güvenlik şirketinin ya yasa dışı kar elde etme girişimi ya da savunucuların dikkatini dağıtmak ve onları yoldan çıkarmak için bir hile olduğunu söylediği kripto madenciliği yazılımının konuşlandırılmasını da gerektirdi.
İlk bulaşma vektörü, Amazon Web Services’ta (AWS) barındırılan, kendi kendini yöneten bir Kubernetes kümesinde halka açık savunmasız bir hizmetten yararlanmaya dayanıyordu.
Başarılı bir dayanak noktası elde edilmesinin ardından, bir XMRig kripto madencisi başlatıldı ve AWS bulut altyapısına daha fazla girmek ve hassas verileri sızdırmak için kullanılabilecek kimlik bilgilerini elde etmek için bir bash betiği kullanıldı.
Şirket, “Ya kripto madenciliği saldırganın ilk hedefiydi ve kurbanın ortamına eriştikten sonra hedef değişti ya da kripto madenciliği, veri hırsızlığının tespitinden kaçınmak için bir tuzak olarak kullanıldı” dedi.
İzinsiz giriş, özellikle de devre dışı bırakıldı CloudTrail günlükleri Sysdig’in ek kanıtlara erişmesini engelleyerek dijital ayak izini en aza indirmek için. Toplamda, tehdit aktörünün müşteri komut dosyaları, sorun giderme araçları ve günlük dosyaları dahil olmak üzere 1 TB’tan fazla veriye erişmesine izin verdi.
Şirket, “Erişimlerini kuruluş genelinde yaymak için bir Terraform durum dosyası kullanarak diğer bağlı AWS hesaplarına da dönmeye çalıştılar” dedi. Ancak bu, izin eksikliği nedeniyle başarısız oldu.
Bulgular, Sysdig’den haftalar sonra da geldi. detaylı Kasım 2022 ile Ocak 2023 arasında 8220 Çetesi tarafından istismar edilebilir Apache web sunucusunu ve Oracle Weblogic uygulamalarını hedef alan başka bir cryptojacking kampanyası.