Araştırmacılar, kimlik bilgilerini ve fikri mülkiyeti çalmak, kripto madenciliği yazılımı yerleştirmek, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek ve daha fazlasını gerçekleştirmek için Amazon Web Services’e (AWS) sızan mali amaçlı tehdit aktörü ScarletEel’i gözlemlediler.
Tehdit aktörü ilk ortaya çıktı Şubat blog yazısında bulut güvenlik firması Sysdig’den. Grup, kendisini bir bulut ortamına enjekte ederek ve yanal olarak kolaylıkla hareket etmek için yerel AWS işlevselliğini kullanarak AWS araçları konusunda çok açık bir anlayışa sahiptir. Ve doğru türde bir erişimle, çifte sorun çıkardığı biliniyor: fikri mülkiyeti çalarken aynı zamanda kripto madenciliği yazılımı yerleştirmek.
ScarletEel, şirketin son analizlerine göre taktiklerini geliştirmeye de devam ediyor; bulut güvenlik algılama mekanizmalarından kaçınıyor ve çok az el değmiş AWS Fargate bilgi işlem motoruna ulaşıyor. Ve istismar teknikleri listesine hizmet olarak DDoS’u ekleyerek cephaneliğini genişletti.
“Önceki faaliyetleriyle karşılaştırıldığında, kurban ortamının daha fazla farkında olduklarını ve nereye gidecekleri, bundan nasıl yararlanacakları ve müşterilerin savunma amaçlı güvenlik önlemlerinden nasıl kaçacakları konusunda yeteneklerini geliştirdiklerini görüyoruz. Sysdig’in tehdit araştırma mühendisi Alessandro Brucato,” diyor.
Hayvanın Her Parçasını Kullanmak
ScarletEel, en son izinsiz girişine bir Kubernetes kümesindeki Jupyter not defteri kapsayıcılarını kullanarak başladı. Ardından saldırganlar, komut ve kontrol (C2) sunucularına geri gönderebilecekleri AWS kimlik bilgilerini aramak için komut dosyaları çalıştırdı. Komut satırı araçlarını kullanmak yerine, komut dosyaları yerleşik kabuk komutlarını kullandı. Araştırmacılar, “Bu, birçok aracın özel olarak izlediği curl ve wget kullanılmadığı için verileri dışarı sızdırmanın daha gizli bir yoludur” dedi.
ScarletEel, kurbanın hesabında ayrıcalık artırma fırsatlarını ortaya çıkarmak için AWS için açık kaynaklı bir sızma testi aracı olan Pacu’yu da kullandı. Paralel olarak, bir kurbanın Kubernetes ortamını keşfetmek ve kullanmak için eşdeğer bir araç olan Peirates’i kullandı.
Bilgisayar korsanları, etkinliklerini gizlemek için zekice bir savunma mekanizması geliştirdiler.
Sysdig’in tehdit araştırma direktörü Michael Clark, “Doğrudan AWS ile uğraşmak yerine, aslında AWS protokolünü destekleyen bir Rus sunucusunu kullanıyorlardı” diye açıklıyor. Yerel AWS komutlarıyla arazi dışında yaşamak, etkinliğin kötü niyetliliğini maskeledi. Bu arada, kurbanın AWS CloudTrail günlüklerine kaydedilmedi, çünkü her şey Rus sitesinde gerçekleşti.
Sysdig’in Şubat ayında belirttiği gibi, ScarletEel’in birincil amacı özel mülk yazılımları çalmak ve cryptojacking yapmaktır.
En son kampanyasında, bilgisayar korsanları güvenliği ihlal edilmiş bir hesap aracılığıyla 42 kripto madenci örneği düşürdü. Bu, hızla tespit edilip söndürülecek kadar gürültü çıkardı, ancak saldırganlar ürkmedi. Yakalandıktan sonra bile, diğer yeni ve güvenliği ihlal edilmiş hesapları kullanmaya çalıştılar, ancak ayrıcalık eksikliği nedeniyle başarısız oldular.
Araştırmacılar, saldırının hız kesmeden devam etmesine izin verilirse, günlük yaklaşık 4.000 $ değerinde kripto madenciliği ödülü getireceğini tahmin ediyor.
Grup, IP hırsızlığı ve cryptojacking’in yanı sıra Mirai botnet ailesine ait “Pandora” adlı kötü amaçlı yazılımı da yerleştirdi. Araştırmacılar, saldırganların Pandora bulaşmış cihazları ayrı, daha geniş bir hizmet olarak DDoS kampanyasının parçası olarak kullanacaklarını tahmin ettiler.
Fargate Uzmanlığının Eksikliği Savunmayı Engelliyor
Sıradan bulut güvenliği, bu ortamlarda bu kadar rahat olan bir saldırgana karşı yetersiz kalabilir. Örneğin, en son etkinliğinde, ScarletEel’in gelişmiş güçleri, AWS’nin sunucusuz kapsayıcıları çalıştırma platformu olan Fargate’e erişmesine izin verdi.
Fargate, hem bilgisayar korsanları hem de savunucular için büyük ölçüde keşfedilmemiş bir bölgedir, çünkü Clark şöyle açıklıyor: “Genellikle halka açık değildir. Pek çok arka uç ve dahili amaç için kullanılır ve bu, insanların bunu gerçekten bir parçası olarak düşünmediği anlamına gelir. saldırı yüzeylerinin.”
“Ama bu saldırıda gördüğümüz gibi, sonunda Fargate sistemine girdiler ve onun kimlik bilgilerini ele geçirdiler. Yani oradaki fırsatların kesinlikle farkındalar ve onu ele geçirmeleri an meselesi. “
ScarletEel gibi bir varlığa karşı sertleşmek için Brucato şöyle açıklıyor: “Önce saldırganların ortamınıza girmesini önlemek için bazı önlemler almalısınız. etkili çalışma zamanı güvenliği uygulamak için.” Clark, etkili bulut güvenliği duruşu yönetiminin (CSPM) ve bulut altyapısı yetkilendirme yönetiminin (CIEM) değerini vurguluyor.
Brucato, “Tek bir şekilde korunmak yeterli değil, çünkü bugün saldırganlar gerçekten farkında,” diye bitiriyor Brucato. “Her ayrıntıyı istismar edebilirler.”