Bulut Güvenliği, Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Tehdit Aktörü ‘Codefinger’ Bulut Ortamlarını Hedefliyor
Prajeet Nair (@prajeetspeaks) •
14 Ocak 2025
Bir fidye yazılımı grubu, Amazon S3 klasörlerini hedef alıyor, burada depolanan verilerden AWS’nin müşteri anahtarlarıyla sunucu tarafı şifrelemesini kullanarak yararlanıyor ve verilerin kilidini açmak için gereken şifreleme anahtarı karşılığında fidye talep ediyor.
Ayrıca bakınız: 2024 Tehdit Avcılığı Raporu: Modern Düşmanları Zekice Alt Etmeye Yönelik İçgörüler
Fidye yazılımı kampanyasının AWS güvenlik açıklarından yararlanmadığını tespit eden Halcyon RISE ekibi tarafından Codefinger adı verilen tehdit aktörü. Bunun yerine, güvenliği ihlal edilmiş veya kamuya açık hale getirilmiş AWS hesabı kimlik bilgilerini kullanır.
Saldırganlar, S3 paket verilerini, şifreleme anahtarlarını saklamadan güvenli bir şekilde işleyen SSE-C ile şifrelemek için bu kimlik bilgilerinden yararlanır. Veriler şifrelendikten sonra, tehdit aktörünün şifre çözme anahtarı olmadan kurtarılamaz hale gelir.
Halcyon’un araştırmacıları, operasyonun halihazırda en az iki kuruluşu etkilediğini söyledi ve taklit saldırı potansiyeli konusunda uyarıda bulundu.
Araştırmacılar, şifrelenmiş dosyaların yedi gün içinde silinmek üzere işaretlendiğini ve bu durumun mağdurların ödeme yapma zorunluluğunu artırdığını söyledi.
Codefinger, saldırıyı gerçekleştirmek için AWS’nin yerel özelliklerini kullanır. Süreç, S3 nesnelerini okuma ve yazma izinlerine sahip AWS anahtarlarının tanımlanmasıyla başlar. Saldırgan, yerel olarak oluşturulan ve depolanan bir AES-256 anahtarını kullanarak şifrelemeyi başlatır. AWS yalnızca anahtarın HMAC’sini günlüğe kaydeder; bu, verileri yeniden oluşturamaz veya şifreyi çözemez. Yaşam döngüsü yönetimi politikaları, yedi günlük bir silme penceresi belirleyecek şekilde manipüle edilerek mağdurlara daha fazla baskı yapılıyor.
AWS CloudTrail’in sınırlı günlük kaydı yetenekleri, adli analizleri engelleyerek mağdurlar ve soruşturmacılar için zorlukları artırıyor.
Halcyon, kuruluşları bu tür tehditleri azaltmak için sağlam güvenlik önlemleri almaya çağırdı. Öneriler arasında IAM politikaları aracılığıyla SSE-C kullanımının kısıtlanması, AWS anahtarlarının düzenli olarak denetlenmesi ve rotasyonu yapılması ve olağandışı etkinlikleri tespit etmek için gelişmiş günlük kaydının uygulanması yer alıyor.
AWS, kimlik bilgilerinin açığa çıkmasını en aza indirmek ve savunmaları iyileştirmek için müşterilerini IAM rolleri, Identity Center ve Secrets Manager gibi güvenlik araçlarını kullanmaya teşvik eder.