“EC2 Grouper” adlı gelişmiş bir bilgisayar korsanı grubu, bulut ortamlarına saldırılar başlatmak için AWS araçlarından yararlanıyor ve kimlik bilgilerini ele geçiriyor.
Bu üretken tehdit aktörü son birkaç yılda düzinelerce müşteri ortamında gözlemlendi ve bu da onları siber güvenlik uzmanları tarafından takip edilen en aktif gruplardan biri haline getirdi.
Fortinet araştırmacıları, EC2 Grouper’ın saldırıları gerçekleştirmek için AWS araçlarını, özellikle de PowerShell’i tutarlı bir şekilde kullanmasıyla karakterize edildiğini gözlemledi. Grup, ayırt edici bir kullanıcı aracısı dizesi ve benzersiz bir güvenlik grubu adlandırma kuralı kullanır; genellikle “ec2group”, “ec2group1” ve “ec2group12345” gibi adlara sahip birden çok grup oluşturur.
Saldırganlar kimlik bilgilerini öncelikle geçerli hesaplarla ilişkili kod depolarından elde eder. Bu kimlik bilgilerini aldıktan sonra keşif, güvenlik grubu oluşturma ve kaynak sağlama için API’lerden yararlanırlar.
Taktikleri arasında EC2 türlerinin envanterini çıkarmak için TarifInstanceTypes’a çağrı yapmak ve mevcut bölgeler hakkında bilgi toplamak için TarifeRegions’a çağrı yapmak yer alıyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
İlginç bir şekilde araştırmacılar, genellikle güvenlik grubuyla başlatılan EC2 bulut sunucularına gelen erişimi yapılandırmak için gerekli olan AuthorizeSecurityGroupIngress’e yapılan çağrıları gözlemlemedi.
Ancak uzaktan erişim için gerekli olan CreateInternetGateway ve CreateVpc çağrılarının örneklerine dikkat çektiler.
Grubun nihai hedefleri henüz doğrulanmamış olsa da uzmanlar, birincil amaçlarının kaynak gaspı olduğuna inanıyor.
Raporda, güvenliği ihlal edilen bulut ortamlarında herhangi bir manuel faaliyet veya belirli hedeflere dayalı eylemler gözlemlenmediği belirtildi.
EC2 Grouper’ın faaliyetlerinin tespit edilmesi güvenlik ekipleri için önemli zorluklar teşkil ediyor. Kullanıcı aracıları ve grup adları gibi geleneksel göstergelerin, geçici doğaları nedeniyle kapsamlı tehdit tespiti açısından güvenilmez olduğu kanıtlanmıştır.
Bunun yerine uzmanlar, kötü niyetli davranışları doğru bir şekilde tanımlamak için birden fazla zayıf sinyali ilişkilendiren daha incelikli bir yaklaşım öneriyor.
Kuruluşların EC2 Grouper ve benzeri tehditlerle ilişkili riskleri azaltmak için çeşitli güvenlik önlemlerini uygulamaları tavsiye edilir.
Bunlar, bulut ortamı güvenliğini sürekli olarak izlemek ve değerlendirmek için Bulut Güvenliği Duruş Yönetimi (CSPM) araçlarının kullanılmasını, olağandışı davranışları tanımlamak için anormallik algılama tekniklerinin uygulanmasını ve kullanıcılara ve örneklere atanan tüm rollere en az ayrıcalık ilkesinin uygulanmasını içerir.
Bulut ortamları, gelişmiş tehdit aktörleri için birincil hedefler olmayı sürdürürken, EC2 Grouper gibi grupların keşfi ve analizi, dijital varlıkların ve hassas bilgilerin korunmasında gelişmiş tespit mekanizmalarının ve sağlam güvenlik uygulamalarının öneminin altını çiziyor.