Una sofisticada campaña de ataque denominada ESCARLATA está apuntando a entornos en contenedores para perpetrar el robo de datos y software patentados.
«El atacante explotó una carga de trabajo en contenedores y luego la aprovechó para realizar una escalada de privilegios en una cuenta de AWS para robar credenciales y software patentado», Sysdig dicho en un nuevo informe.
El ataque avanzado en la nube también implicó el despliegue de software de criptominería, que según la compañía de ciberseguridad es un intento de generar ganancias ilícitas o una estratagema para distraer a los defensores y sacarlos del camino.
El vector de infección inicial apostó por la explotación de un servicio público vulnerable en un clúster de Kubernetes autogestionado alojado en Amazon Web Services (AWS).
Al obtener un punto de apoyo exitoso, se lanzó un criptominero XMRig y se utilizó un script bash para obtener credenciales que podrían usarse para profundizar en la infraestructura de la nube de AWS y filtrar datos confidenciales.
«O la criptominería era el objetivo inicial del atacante y el objetivo cambió una vez que accedieron al entorno de la víctima, o la criptominería se usó como señuelo para evadir la detección de exfiltración de datos», dijo la compañía.
La intrusión notablemente también deshabilitada Registros de CloudTrail para minimizar la huella digital, evitando que Sysdig acceda a evidencia adicional. En total, permitió al actor de amenazas acceder a más de 1 TB de datos, incluidos scripts de clientes, herramientas de solución de problemas y archivos de registro.
«También intentaron pivotar usando un archivo de estado de Terraform a otras cuentas de AWS conectadas para extender su alcance en toda la organización», dijo la compañía. Esto, sin embargo, resultó ser un fracaso debido a la falta de permisos.
Los hallazgos llegan semanas después de que Sysdig también detallado otra campaña de cryptojacking montada por 8220 Gang entre noviembre de 2022 y enero de 2023 dirigida al servidor web Apache explotable y las aplicaciones Oracle Weblogic.