Los entornos en la nube contin\u00faan estando en el extremo receptor de una campa\u00f1a de ataque avanzada en curso denominada SCARLETEEL, y los actores de amenazas ahora ponen su mirada en Amazon Web Services (AWS) Fargate.<\/p>\n
“Los entornos en la nube siguen siendo su objetivo principal, pero las herramientas y t\u00e9cnicas utilizadas se han adaptado para eludir las nuevas medidas de seguridad, junto con una arquitectura de comando y control m\u00e1s resistente y sigilosa”, dijo Alessandro Brucato, investigador de seguridad de Sysdig, en un nuevo informe compartido con The Hacker. Noticias.<\/p>\n
SCARLETEEL fue expuesto por primera vez por la empresa de ciberseguridad en febrero de 2023, detallando una cadena de ataque sofisticada que culmin\u00f3 con el robo de datos de propiedad de la infraestructura de AWS y el despliegue de mineros de criptomonedas para sacar provecho ilegalmente de los recursos de los sistemas comprometidos.<\/p>\n
Un an\u00e1lisis de seguimiento realizado por Cado Security descubri\u00f3 v\u00ednculos potenciales con un prol\u00edfico grupo de cryptojacking conocido como TeamTNT, aunque Sysdig le dijo a The Hacker News que “podr\u00eda ser alguien copiando su metodolog\u00eda y patrones de ataque”.<\/p>\n La actividad m\u00e1s reciente contin\u00faa la inclinaci\u00f3n del actor de amenazas por perseguir las cuentas de AWS mediante la explotaci\u00f3n de aplicaciones web vulnerables de cara al p\u00fablico con el objetivo final de ganar persistencia, robar propiedad intelectual y generar ingresos potenciales por una suma de $ 4,000 por d\u00eda utilizando criptomineros.<\/p>\n “El actor descubri\u00f3 y aprovech\u00f3 un error en una pol\u00edtica de AWS que les permiti\u00f3 escalar los privilegios a AdministratorAccess y obtener el control de la cuenta, lo que les permiti\u00f3 hacer lo que quisieran”, explic\u00f3 Brucato.<\/p>\n Todo comienza cuando el adversario explota los contenedores de port\u00e1tiles JupyterLab desplegados en un cl\u00faster de Kubernetes, aprovechando el punto de apoyo inicial para realizar el reconocimiento de la red de destino y recopilar credenciales de AWS<\/a> para obtener un acceso m\u00e1s profundo al entorno de la v\u00edctima.<\/p>\n A esto le sigue la instalaci\u00f3n de la herramienta de l\u00ednea de comandos de AWS y un marco de explotaci\u00f3n llamado Pacu para su posterior explotaci\u00f3n. El ataque tambi\u00e9n se destaca por el uso de varios scripts de shell para recuperar las credenciales de AWS, algunos de los cuales se dirigen a las instancias del motor de c\u00f3mputo de AWS Fargate.<\/p>\n “Se observ\u00f3 que el atacante usaba el cliente de AWS para conectarse a sistemas rusos que son compatibles con el protocolo S3”, dijo Brucato, y agreg\u00f3 que los actores de SCARLETEEL usaron t\u00e9cnicas sigilosas para garantizar que los eventos de exfiltraci\u00f3n de datos no se capturen en los registros de CloudTrail.<\/p>\n \ud83d\udd10 Seguridad PAM: soluciones expertas para proteger sus cuentas confidenciales<\/p>\n <\/a><\/p>\n Este seminario web dirigido por expertos lo equipar\u00e1 con el conocimiento y las estrategias que necesita para transformar su estrategia de seguridad de acceso privilegiado.<\/p>\n Reserve su lugar<\/a><\/section>\n Algunos de los otros pasos tomados por el atacante incluyen el uso de una herramienta de prueba de penetraci\u00f3n de Kubernetes conocida como Peirates para explotar el sistema de orquestaci\u00f3n de contenedores y un malware de botnet DDoS llamado Pandora<\/a>lo que indica nuevos intentos por parte del actor de monetizar el anfitri\u00f3n.<\/p>\n “Los actores de SCARLETEEL contin\u00faan operando contra objetivos en la nube, incluidos AWS y Kubernetes”, dijo Brucato. “Su m\u00e9todo de entrada preferido es la explotaci\u00f3n de servicios inform\u00e1ticos abiertos y aplicaciones vulnerables. Hay un enfoque continuo en la ganancia monetaria a trav\u00e9s de la criptominer\u00eda, pero […] la propiedad intelectual sigue siendo una prioridad”.<\/p>\n <\/p>\n![\"Atacantes](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689072305_21_Campana-de-cryptojacking-SCARLETEEL-que-explota-AWS-Fargate-en-una.jpg\" "\\"Atacantes")
<\/div>\n