Bulut ortamları, tehdit aktörlerinin artık gözlerini Amazon Web Services (AWS) Fargate’e diktiği SCARLETEEL adlı devam eden bir gelişmiş saldırı kampanyasının alıcı tarafında olmaya devam ediyor.
Sysdig güvenlik araştırmacısı Alessandro Brucato, The Hacker ile paylaştığı yeni bir raporda, “Bulut ortamları hala birincil hedefleri, ancak kullanılan araçlar ve teknikler, daha dayanıklı ve gizli bir komuta ve kontrol mimarisinin yanı sıra yeni güvenlik önlemlerini atlayacak şekilde uyarlandı.” Haberler.
SCARLETEEL ilk olarak Şubat 2023’te siber güvenlik şirketi tarafından ifşa edildi ve AWS altyapısından özel verilerin çalınması ve güvenliği ihlal edilmiş sistemlerin kaynaklarından yasa dışı bir şekilde kâr elde etmek için kripto para madencilerinin konuşlandırılmasıyla sonuçlanan karmaşık bir saldırı zincirini ayrıntılarıyla açıkladı.
Cado Security tarafından yapılan bir takip analizi, TeamTNT olarak bilinen üretken bir cryptojacking grubuyla potansiyel bağlantıları ortaya çıkardı, ancak Sysdig The Hacker News’e “metodolojilerini ve saldırı modellerini kopyalayan biri olabilir” dedi.
En son etkinlik, tehdit aktörünün kalıcılık kazanmak, fikri mülkiyeti çalmak ve potansiyel olarak kripto madencilerini kullanarak günde 4.000 ABD Doları tutarında gelir elde etmek amacıyla halka açık savunmasız web uygulamalarını kullanarak AWS hesaplarının peşine düşme eğilimini sürdürüyor.
Brucato, “Aktör, bir AWS politikasında ayrıcalıkları Yönetici Erişimi’ne yükseltmelerine ve hesap üzerinde kontrol sahibi olmalarına olanak tanıyan bir hatayı keşfetti ve bundan yararlanarak hesapla istediklerini yapmalarını sağladı” dedi.
Her şey, bir Kubernetes kümesinde dağıtılan JupyterLab dizüstü kapsayıcılarını istismar eden düşmanla başlar, hedef ağda keşif yapmak için ilk dayanaktan yararlanır ve kurbanın ortamına daha derin erişim elde etmek için AWS kimlik bilgilerini toplar.
Bunu, AWS komut satırı aracının kurulumu ve sonraki istismar için Pacu adlı bir istismar çerçevesi takip eder. Saldırı aynı zamanda AWS kimlik bilgilerini almak için çeşitli kabuk betiklerinin kullanılmasıyla da öne çıkıyor ve bunlardan bazıları AWS Fargate bilgi işlem motoru bulut sunucularını hedefliyor.
“Saldırganın S3 protokolüyle uyumlu Rus sistemlerine bağlanmak için AWS istemcisini kullandığı gözlemlendi,” diyen Brucato, SCARLETEEL aktörlerinin veri hırsızlığı olaylarının CloudTrail günlüklerinde yakalanmamasını sağlamak için gizli teknikler kullandığını da sözlerine ekledi.
🔐 PAM Güvenliği – Hassas Hesaplarınızı Güvenceye Almak İçin Uzman Çözümler
Uzmanlar tarafından yönetilen bu web semineri, sizi ayrıcalıklı erişim güvenliği stratejinizi dönüştürmek için ihtiyaç duyduğunuz bilgi ve stratejilerle donatacak.
Yerinizi Ayırın
Saldırganın attığı diğer adımlardan bazıları, kap düzenleme sisteminden yararlanmak için Peirates olarak bilinen bir Kubernetes Sızma Testi aracının ve aktörün ana bilgisayardan para kazanmaya yönelik başka girişimlerini gösteren Pandora adlı bir DDoS botnet kötü amaçlı yazılımının kullanımını içerir.
Brucato, “SCARLETEEL aktörleri, AWS ve Kubernetes dahil olmak üzere buluttaki hedeflere karşı faaliyet göstermeye devam ediyor” dedi. “Tercih ettikleri giriş yöntemi, açık bilgi işlem hizmetlerinden ve savunmasız uygulamalardan yararlanmaktır. Kripto madenciliği yoluyla parasal kazanca odaklanma devam etmektedir, ancak […] fikri mülkiyet hala bir öncelik.”