Kötü niyetli bir aktör, Haziran 2023’te Azure ve Google Bulut Platformu (GCP) hizmetlerine odaklanan bir bulut kimlik bilgisi çalma kampanyasıyla ilişkilendirildi ve bu, düşmanın Amazon Web Hizmetleri’nin (AWS) ötesini hedeflemedeki genişlemesine işaret ediyor.
Bulgular, “kampanyaların kötü şöhretli TeamTNT cryptojacking ekibine atfedilen araçlarla benzerliği paylaştığını” söyleyen SentinelOne ve Permiso’dan geliyor, ancak “atıfın komut dosyası tabanlı araçlarla zorlayıcı olmaya devam ettiğini” vurguluyor.
Aqua tarafından ifşa edilen Silentbob adlı devam eden TeamTNT kampanyasıyla da örtüşüyorlar.
Aqua, “TeamTNT, AWS, Azure ve GCP dahil olmak üzere birden çok bulut ortamında kimlik bilgilerini tarıyor” dedi.
Solucan benzeri bir yayılma modülü dağıtmak için halka açık Docker bulut sunucularını ayıran saldırılar, daha önce Aralık 2022’de Jupyter Notebook’ları hedef alan bir saldırı setinin devamı niteliğindedir.
15 Haziran 2023 ile 11 Temmuz 2023 arasında kimlik bilgisi toplama komut dosyasının sekiz adede kadar artımlı sürümü keşfedildi ve bu, aktif olarak gelişen bir kampanyaya işaret ediyor.
Kötü amaçlı yazılımın daha yeni sürümleri, AWS, Azure, Google Cloud Platform, Censys, Docker, Filezilla, Git, Grafana, Kubernetes, Linux, Ngrok, PostgreSQL, Redis, S3QL ve SMB’den kimlik bilgilerini toplamak için tasarlanmıştır. Toplanan kimlik bilgileri daha sonra tehdit aktörünün kontrolü altındaki bir uzak sunucuya sızar.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
SentinelOne, kimlik bilgileri toplama mantığının ve hedeflenen dosyaların, Eylül 2022’de TeamTNT tarafından yürütülen bir Kubelet hedefleme kampanyasıyla benzerlikler taşıdığını söyledi.
Kabuk betiği kötü amaçlı yazılımının yanı sıra, tehdit aktörünün, kötü amaçlı yazılımı savunmasız hedeflere yaymak için bir tarayıcı görevi gören Golang tabanlı bir ELF ikili dosyası da dağıttığı gözlemlendi. İkili, Zgrab adlı bir Golang ağ tarama yardımcı programını da düşürür.
Güvenlik araştırmacıları Alex Delamotte, Ian Ahl ve Daniel Bohannon, “Bu kampanya, pek çok teknolojiye aşina olan tecrübeli bir bulut aktörünün gelişimini gösteriyor” dedi. “Ayrıntılara verilen titiz dikkat, oyuncunun pek çok deneme yanılma deneyimi yaşadığını açıkça gösteriyor.”
“Bu aktör aktif olarak araçlarını ayarlıyor ve geliştiriyor. Geçtiğimiz haftalarda gözlemlenen ince ayarlara göre, aktör muhtemelen daha büyük ölçekli kampanyalar için hazırlanıyor.”