42. Birim araştırmacıları, bulut sistemlerini kullanarak çeşitli kuruluşları manipüle edip gasp eden karmaşık ve geniş çaplı bir kampanya tespit etti.
Güvenlik analistleri, AWS’ye yönelik bu büyük çaplı siber saldırının 230 milyondan fazla benzersiz bulut ortamını hedef aldığını keşfetti.
Saldırganlar, bulut altyapılarındaki açığa çıkmış ortam değişkeni (.env) dosyalarını istismar etmek için akıllıca bir taktik geliştirdiler.
Güvenlik önlemlerinde sıklıkla gözden kaçan bu .env dosyaları, farklı programlara ve hizmetlere erişim kodları gibi gizli verileri içeriyordu.
Bu, bilgisayar korsanlarının kurbanların sistemlerine yetkisiz giriş yapmalarına ve bu sayede ağlara daha fazla sızmalarına olanak sağladı.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Teknik Analiz
Tehdit aktörleri, kritik bilgiler içeren .env dosyalarını ele geçirerek milyonlarca etki alanını kontrol etmek için otomatik araçlar kullandı.
İçeri girdikten sonra, GetCallerIdentity, ListUsers ve ListBuckets gibi AWS API çağrılarıyla ihlal edilen ortamların kapsamlı keşfini gerçekleştirerek başladılar.
Daha sonra aktörler, üzerinde tam yönetim hakları bulunan yeni IAM rolleri oluşturarak ayrıcalıklarını artırdılar ve bu da AWS IAM öğelerini ne kadar iyi anladıklarını gösterdi.
Daha sonra, büyük ölçekli bir kimlik avı kampanyası için yararlı olan Mailgun kimlik bilgilerine özel bir odaklanma da dahil olmak üzere, birden fazla Amazon Web Services bölgesinde daha fazla .env dosyası için yinelemeli taramalar gerçekleştirmek üzere kötü amaçlı olarak tasarlanmış Lambda işlevlerini dağıtmaya devam ettiler.
Kampanyanın ulaştığı büyük etki, 110.000’den fazla alan adındaki .env dosyalarına erişilebilmesi ve 230 milyon benzersiz uç noktayı aşan bir hedef listesine sahip olunmasıyla ortaya çıktı.
Operasyon, saldırganların kontrolündeki S3 kovalarına veri sızdırılmasıyla tamamlandı.
Bu tür karmaşık saldırı taktikleri, sağlam IAM politikalarının uygulanmasının, bulut faaliyetlerinin her zaman izlenmesinin ve bulut ortamlarında yetkisiz girişleri ve veri kaybı veya sızıntısı risklerini önlemek için yapılandırma dosyalarında çok zorlu bir güvenlik yaklaşımının gözetilmesinin önemini vurgulamaktadır.
“Tehdit aktörünün keşif operasyonlarını takiben, bulut ortamına ilk erişimi elde etmek için kullanılan orijinal IAM kimlik bilgisinin tüm bulut kaynaklarına yönetici erişimi olmadığını tespit ettiler. Saldırganların, ilk erişim için kullanılan orijinal IAM rolünün hem yeni IAM rolleri oluşturma hem de mevcut rollere IAM politikaları ekleme izinlerine sahip olduğunu keşfettiklerini belirledik.” Palo Alto araştırması.
Bulut tabanlı bu gasp kampanyası, veri sızdırma ve operasyonel güvenlik konusunda karmaşık taktikleri ortaya çıkardı.
Saldırganlar, nesne düzeyinde günlük kaydı tutmadan işlemlerini ele veren belirli API çağrıları yapmak için S3 Tarayıcısını kullandılar.
Maliyet ve Kullanım Raporları aracılığıyla Exfiltrasyonun tespit edilebileceğini ve bunun GetObject ve DeleteObject işlemlerinde artışlara işaret edebileceğini belirtmek önemlidir.
Saldırganlar, verileri dışarı çıkarıp sildikten sonra, boşaltılan S3 kovalarına fidye notları yükleyerek, veri sızıntılarını önlemek ve silinen bilgileri geri yüklemek için ödeme talep etti.
Bu notlar, bazen e-postalar aracılığıyla hedef şirket hissedarlarına gönderilmeyi başaran siber gaspın son seviyesini temsil ediyordu.
Kampanya, sosyal medya oturum açma bilgilerini tehlikeye atan ve çeşitli altyapı ayrıntılarını ifşa eden bulut hizmetlerinin ötesine geçti.
Hem Tor düğümlerini hem de VPN istemcilerini kullanan saldırganların taktiksel bir hatası da vardı; zira bu durumda Ukrayna ve Fas’taki konumları ifşa etme ihtimalleri vardı.
Sonuç olarak, kuruluşların kullanılmayan AWS bölgelerini devre dışı bırakmak, 90 günlük saklama süresine sahip sağlam günlükler tutmak ve Amazon GuardDuty’yi kullanmak gibi uygun güvenlik önlemlerini uygulaması gerekir.
Bu amaçla, şirketler en az ayrıcalık ve geçici kimlik bilgisi tercihini benimsemeli ve AWS içindeki kullanım kalıplarına uygun özel uyarı sistemleri geliştirmelidir.
Bu stratejileri, sürekli izleme ve periyodik güvenlik denetimleriyle birlikte içeren çok katmanlı bir savunma sistemi, bu tür gelişmiş saldırı kampanyalarının yol açtığı zafiyetleri azaltmada çok önemlidir.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot