Los entornos en la nube continúan estando en el extremo receptor de una campaña de ataque avanzada en curso denominada SCARLETEEL, y los actores de amenazas ahora ponen su mirada en Amazon Web Services (AWS) Fargate.
«Los entornos en la nube siguen siendo su objetivo principal, pero las herramientas y técnicas utilizadas se han adaptado para eludir las nuevas medidas de seguridad, junto con una arquitectura de comando y control más resistente y sigilosa», dijo Alessandro Brucato, investigador de seguridad de Sysdig, en un nuevo informe compartido con The Hacker. Noticias.
SCARLETEEL fue expuesto por primera vez por la empresa de ciberseguridad en febrero de 2023, detallando una cadena de ataque sofisticada que culminó con el robo de datos de propiedad de la infraestructura de AWS y el despliegue de mineros de criptomonedas para sacar provecho ilegalmente de los recursos de los sistemas comprometidos.
Un análisis de seguimiento realizado por Cado Security descubrió vínculos potenciales con un prolífico grupo de cryptojacking conocido como TeamTNT, aunque Sysdig le dijo a The Hacker News que «podría ser alguien copiando su metodología y patrones de ataque».
La actividad más reciente continúa la inclinación del actor de amenazas por perseguir las cuentas de AWS mediante la explotación de aplicaciones web vulnerables de cara al público con el objetivo final de ganar persistencia, robar propiedad intelectual y generar ingresos potenciales por una suma de $ 4,000 por día utilizando criptomineros.
«El actor descubrió y aprovechó un error en una política de AWS que les permitió escalar los privilegios a AdministratorAccess y obtener el control de la cuenta, lo que les permitió hacer lo que quisieran», explicó Brucato.
Todo comienza cuando el adversario explota los contenedores de portátiles JupyterLab desplegados en un clúster de Kubernetes, aprovechando el punto de apoyo inicial para realizar el reconocimiento de la red de destino y recopilar credenciales de AWS para obtener un acceso más profundo al entorno de la víctima.
A esto le sigue la instalación de la herramienta de línea de comandos de AWS y un marco de explotación llamado Pacu para su posterior explotación. El ataque también se destaca por el uso de varios scripts de shell para recuperar las credenciales de AWS, algunos de los cuales se dirigen a las instancias del motor de cómputo de AWS Fargate.
«Se observó que el atacante usaba el cliente de AWS para conectarse a sistemas rusos que son compatibles con el protocolo S3», dijo Brucato, y agregó que los actores de SCARLETEEL usaron técnicas sigilosas para garantizar que los eventos de exfiltración de datos no se capturen en los registros de CloudTrail.
🔐 Seguridad PAM: soluciones expertas para proteger sus cuentas confidenciales
Este seminario web dirigido por expertos lo equipará con el conocimiento y las estrategias que necesita para transformar su estrategia de seguridad de acceso privilegiado.
Algunos de los otros pasos tomados por el atacante incluyen el uso de una herramienta de prueba de penetración de Kubernetes conocida como Peirates para explotar el sistema de orquestación de contenedores y un malware de botnet DDoS llamado Pandoralo que indica nuevos intentos por parte del actor de monetizar el anfitrión.
«Los actores de SCARLETEEL continúan operando contra objetivos en la nube, incluidos AWS y Kubernetes», dijo Brucato. «Su método de entrada preferido es la explotación de servicios informáticos abiertos y aplicaciones vulnerables. Hay un enfoque continuo en la ganancia monetaria a través de la criptominería, pero […] la propiedad intelectual sigue siendo una prioridad».