Son birkaç aydır Amazon Web Services (AWS) ortamlarını hedefleyen gelişmiş bir bulut kimlik bilgisi çalma ve kripto madenciliği kampanyası, şimdi Azure ve Google Cloud Platform’u (GCP) da kapsayacak şekilde genişledi. Ayrıca, araştırmacıların belirlediğine göre, kampanyada kullanılan araçlar kötü şöhretli, finansal motivasyonlu bir tehdit aktörü olan TeamTNT ile ilişkili araçlarla önemli ölçüde örtüşüyor.
Araştırmacılara göre, daha geniş hedefleme Haziran ayında başlamış gibi görünüyor. SentinelOne Ve izinve saldırıların Aralık ayında başlamasından bu yana kampanyanın arkasındaki tehdit aktörünün yaptığı sürekli artan iyileştirmeler dizisiyle tutarlıdır.
Firmalar, temel çıkarımlarını vurgulayan ayrı raporlarda, Azure ve Google’ın bulut hizmetlerini hedef alan saldırıların, arkasındaki tehdit grubunun AWS kampanyasında kullandığı temel saldırı komut dosyalarını içerdiğini belirtti. Bununla birlikte, SentinelOne’da tehdit araştırmacısı olan Alex Delamotte, Azure ve GCP yeteneklerinin çok yeni olduğunu ve AWS araçlarına göre daha az gelişmiş olduğunu söylüyor.
“Aktör, Azure kimlik bilgisi toplama modülünü yalnızca daha yeni – 24 Haziran ve daha yeni – saldırılarda uyguladı” diyor. “Geliştirme tutarlıydı ve saldırganın değerli bir yatırım bulması durumunda, önümüzdeki haftalarda bu ortamlar için ısmarlama otomasyonlarla daha fazla aracın ortaya çıktığını göreceğiz.”
Açığa Çıkan Docker Örneklerinin Peşine Düşen Siber Suçlular
TeamTNT tehdit grubu, açığa çıkan bulut hizmetlerini hedeflemesiyle tanınır ve bulut yanlış yapılandırmalarından ve güvenlik açıklarından yararlanma konusunda başarılıdır. TeamTNT başlangıçta kripto madenciliği kampanyalarına odaklanırken, son zamanlarda veri hırsızlığı ve arka kapı dağıtım faaliyetlerine de genişledi ve bu da en son etkinliğin yansıttığı gibi.
Bu doğrultuda, SentinelOne ve Permiso’ya göre saldırgan, içinde bulundukları ortamı belirlemek, sistemlerin profilini çıkarmak, kimlik bilgilerini aramak ve sızmak için tasarlanmış yeni değiştirilmiş kabuk betiklerini kullanarak geçen aydan itibaren açığa çıkan Docker hizmetlerini hedeflemeye başladı. onlara. SentineOne araştırmacıları, betiklerin ayrıca, muhtemelen sistemde daha sonra hedeflenecek başka değerli hizmetler olup olmadığını belirlemek için kullanılan ortam değişkeni ayrıntılarını toplama işlevi içerdiğini söyledi.
Delamotte, saldırganın araç setinin, temeldeki bulut hizmeti sağlayıcısından bağımsız olarak hizmet ortamı bilgilerini sıraladığını söylüyor. “Azure veya GCP için gördüğümüz tek otomasyon, kimlik bilgilerinin toplanmasıyla ilgiliydi. Herhangi bir takip etkinliği, muhtemelen uygulamalı klavyedir.”
Bulgular, Aqua Security’nin yakın zamanda gösterdiği araştırmaya katkıda bulunuyor. halka açık Docker ve JupyterLab API’lerini hedefleyen kötü amaçlı etkinlik. Aqua araştırmacıları, etkinliği – yüksek düzeyde bir güvenle – TeamTNT’ye bağladı.
Bulut Solucanlarını Dağıtma
Tehdit aktörünün, bulut kimlik bilgileri hırsızlığını, kaynak hırsızlığını ve “Tsunami” adlı bir arka kapının konuşlandırılmasını kolaylaştırmak amacıyla AWS ortamlarında dağıtılmak üzere tasarlanmış bir “agresif bulut solucanı” hazırladığını değerlendirdiler.
Benzer şekilde, SentinelOne ve Permiso’nun gelişen tehdide ilişkin ortak analizi, TeamTNT’nin daha önceki saldırılardan gelen kabuk betiklerine ek olarak artık UPX dolu, Golang tabanlı bir ELF ikili dosyası sunduğunu gösterdi. İkili, temel olarak saldırgan tarafından belirlenen bir aralığı taramak ve diğer savunmasız hedeflere yaymak için başka bir kabuk betiğini düşürür ve yürütür.
Delamotte, bu solucan yayma mekanizmasının, belirli bir Docker sürümü kullanıcı aracısıyla yanıt veren sistemleri aradığını söylüyor. Bu Docker örnekleri, Azure veya GCP aracılığıyla barındırılabilir. “Diğer raporlar, bu aktörlerin aynı kavramların geçerli olduğu halka açık Jupyter hizmetlerinden yararlandığını belirtiyor.” sistemler.
Ayrıca yanal hareket cephesinde, Sysdig geçen hafta ilk olarak Aralık ayında yayınladığı bir raporu SentinelOne ve Permiso’nun TeamTNT etkinliğine bağladığı AWS ve Kubernetes hizmetlerini hedef alan ScarletEel bulut kimlik bilgisi çalma ve kripto madenciliği kampanyasının yeni ayrıntılarıyla güncelledi. Sysdig, kampanyanın birincil hedeflerinden birinin AWS kimlik bilgilerini çalmak ve bunları kötü amaçlı yazılım yükleyerek, kaynakları çalarak ve diğer kötü amaçlı faaliyetler gerçekleştirerek kurbanın ortamından daha fazla yararlanmak için kullanmak olduğunu belirledi.
Delamotte, Sysdig’in bildirdiği AWS ortamlarına yönelik saldırılara benzer saldırıların, Pacu adı verilen de dahil olmak üzere bilinen AWS istismar çerçevelerinin kullanımını içerdiğini belirtiyor. Azure ve GCP kullanan kuruluşlar, ortamlarına yönelik saldırıların benzer çerçeveler içereceğini varsaymalıdır. Yöneticilerin, bu platformlara karşı hangi saldırı çerçevelerinin işe yaradığını anlamak için kırmızı ekipleriyle konuşmasını savunuyor.
“Pacu, AWS’ye saldırmak için bilinen bir kırmızı takım favorisidir” diyor. “Bu aktörlerin diğer başarılı sömürü çerçevelerini benimsemesini bekleyebiliriz.”