Son birkaç aydır Amazon Web Services (AWS) ortamlarını hedefleyen gelişmiş bir bulut kimlik bilgisi çalma ve kripto madenciliği kampanyası, şimdi Azure ve Google Cloud Platform’u (GCP) da kapsayacak şekilde genişledi. Ayrıca, araştırmacıların belirlediğine göre, kampanyada kullanılan araçlar kötü şöhretli, finansal motivasyonlu bir tehdit aktörü olan TeamTNT ile ilişkili araçlarla önemli ölçüde örtüşüyor.
SentinelOne ve Permiso’daki araştırmacılara göre, daha geniş hedefleme Haziran ayında başlamış gibi görünüyor ve kampanyanın arkasındaki tehdit aktörünün Aralık ayında başlayan saldırı dizisinden bu yana yaptığı sürekli bir dizi artımlı iyileştirme ile tutarlı.
Firmalar, temel çıkarımlarını vurgulayan ayrı raporlarda, Azure ve Google’ın bulut hizmetlerini hedef alan saldırıların, arkasındaki tehdit grubunun AWS kampanyasında kullandığı temel saldırı komut dosyalarını içerdiğini belirtti. Bununla birlikte, SentinelOne’da tehdit araştırmacısı olan Alex Delamotte, Azure ve GCP yeteneklerinin çok yeni olduğunu ve AWS araçlarına göre daha az gelişmiş olduğunu söylüyor.
“Aktör, Azure kimlik bilgisi toplama modülünü yalnızca daha yeni – 24 Haziran ve daha yeni – saldırılarda uyguladı” diyor. “Geliştirme tutarlıydı ve saldırganın değerli bir yatırım bulması durumunda, önümüzdeki haftalarda bu ortamlar için ısmarlama otomasyonlarla daha fazla aracın ortaya çıktığını göreceğiz.”
Açığa Çıkan Docker Örneklerinin Peşine Düşen Siber Suçlular
TeamTNT tehdit grubu, açığa çıkan bulut hizmetlerini hedeflemesiyle tanınır ve bulut yanlış yapılandırmalarından ve güvenlik açıklarından yararlanma konusunda başarılıdır. TeamTNT başlangıçta kripto madenciliği kampanyalarına odaklanırken, son zamanlarda veri hırsızlığı ve arka kapı dağıtım faaliyetlerine de genişledi ve bu da en son etkinliğin yansıttığı gibi.
Bu doğrultuda, SentinelOne ve Permiso’ya göre saldırgan, içinde bulundukları ortamı belirlemek, sistemlerin profilini çıkarmak, kimlik bilgilerini aramak ve sızmak için tasarlanmış yeni değiştirilmiş kabuk komut dosyalarını kullanarak geçen aydan itibaren açığa çıkan Docker hizmetlerini hedeflemeye başladı. onlara. SentineOne araştırmacıları, komut dosyalarının ayrıca, muhtemelen sistemde daha sonra hedeflenecek başka değerli hizmetler olup olmadığını belirlemek için kullanılan ortam değişkeni ayrıntılarını toplama işlevi içerdiğini söyledi.
Delamotte, saldırganın araç setinin, temeldeki bulut hizmeti sağlayıcısından bağımsız olarak hizmet ortamı bilgilerini sıraladığını söylüyor. “Azure veya GCP için gördüğümüz tek otomasyon, kimlik bilgilerinin toplanmasıyla ilgiliydi. Herhangi bir takip etkinliği, muhtemelen uygulamalı klavyedir.”
Bulgular, yakın zamanda halka açık Docker ve JupyterLab API’lerini hedef alan kötü amaçlı etkinlik gösteren Aqua Security araştırmasına katkıda bulunuyor. Aqua araştırmacıları, etkinliği – yüksek düzeyde bir güvenle – TeamTNT’ye bağladı.
Bulut Solucanlarını Dağıtma
Tehdit aktörünün, bulut kimlik bilgileri hırsızlığını, kaynak hırsızlığını ve “Tsunami” adlı bir arka kapının konuşlandırılmasını kolaylaştırmak amacıyla AWS ortamlarında dağıtılmak üzere tasarlanmış bir “agresif bulut solucanı” hazırladığını değerlendirdiler.
Benzer şekilde, SentinelOne ve Permiso’nun gelişen tehdide ilişkin ortak analizi, TeamTNT’nin daha önceki saldırılardan gelen kabuk betiklerine ek olarak artık UPX dolu, Golang tabanlı bir ELF ikili dosyası sunduğunu gösterdi. İkili, temel olarak saldırgan tarafından belirlenen bir aralığı taramak ve diğer savunmasız hedeflere yaymak için başka bir kabuk betiğini düşürür ve yürütür.
Delamotte, bu solucan yayma mekanizmasının, belirli bir Docker sürümü kullanıcı aracısıyla yanıt veren sistemleri aradığını söylüyor. Bu Docker örnekleri, Azure veya GCP aracılığıyla barındırılabilir. “Diğer raporlar, bu aktörlerin aynı kavramların geçerli olduğu halka açık Jupyter hizmetlerinden yararlandığını belirtiyor.” sistemler.
Ayrıca yanal hareket cephesinde, Sysdig geçen hafta ilk olarak Aralık ayında yayınladığı bir raporu SentinelOne ve Permiso’nun TeamTNT etkinliğine bağladığı AWS ve Kubernetes hizmetlerini hedef alan ScarletEel bulut kimlik bilgisi çalma ve kripto madenciliği kampanyasının yeni ayrıntılarıyla güncelledi. Sysdig, kampanyanın birincil hedeflerinden birinin AWS kimlik bilgilerini çalmak ve bunları kötü amaçlı yazılım yükleyerek, kaynakları çalarak ve diğer kötü amaçlı faaliyetler gerçekleştirerek kurbanın ortamından daha fazla yararlanmak için kullanmak olduğunu belirledi.
Delamotte, Sysdig’in bildirdiği AWS ortamlarına yönelik saldırılara benzer saldırıların, Pacu adı verilen de dahil olmak üzere bilinen AWS istismar çerçevelerinin kullanımını içerdiğini belirtiyor. Azure ve GCP kullanan kuruluşlar, ortamlarına yönelik saldırıların benzer çerçeveler içereceğini varsaymalıdır. Yöneticilerin, bu platformlara karşı hangi saldırı çerçevelerinin işe yaradığını anlamak için kırmızı ekipleriyle konuşmasını savunuyor.
“Pacu, AWS’ye saldırmak için bilinen bir kırmızı takım favorisidir” diyor. “Bu aktörlerin diğer başarılı sömürü çerçevelerini benimsemesini bekleyebiliriz.”