Kimlik uzlaşması, özellikle saldırganların yasal kimlik bilgilerine erişim sağladığı durumlarda bulut altyapısının karşı karşıya olduğu en önemli tehditlerden biri haline geldi.
Bu geçerli erişim anahtarları, saldırganların geleneksel güvenlik savunmalarını atlamasına olanak tanıyarak yaygın suistimal fırsatları yaratır.
Amazon Web Services ortamları, Basit E-posta Hizmetinin kötü amaçlı e-posta işlemlerini geniş ölçekte yürütmek için tercih edilen bir araç olarak ortaya çıkmasıyla birlikte bu tür saldırılarda bir artışa tanık oldu.
Hizmet, saldırganlara, geçerli AWS kimlik bilgilerini aldıktan sonra kimlik avı kampanyaları ve Ticari E-posta Tehlikesi planlarını yürütmek için güvenilir, ölçeklenebilir bir platform sağlar.
FortiGuard Labs yakın zamanda Basit E-posta Hizmetini kötüye kullanmak için çalınan AWS kimlik bilgilerinden yararlanan karmaşık bir kampanyayı ortaya çıkardı.
Bu araştırma sırasında araştırmacılar, tehlikeye atılmış kimlik bilgilerini sistematik olarak doğrulamak ve AWS ortamlarında keşif gerçekleştirmek için açık kaynaklı gizli tarama aracı TruffleHog’dan yararlanan, TruffleNet olarak bilinen devasa bir saldırı altyapısını tespit etti.
.webp)
Kampanya, 57 farklı C Sınıfı ağa dağıtılmış 800’den fazla benzersiz sunucunun faaliyetlerini içeriyordu ve bu da operasyonun benzeri görülmemiş ölçeğini ve koordinasyonunu ortaya koyuyordu.
Fortinet araştırmacıları, altyapının, belirli liman konfigürasyonları ve bir konteyner yönetim platformu olan Portainer’ın varlığı da dahil olmak üzere oldukça tutarlı özellikler sergilediğini belirtti.
İlk TruffleNet bağlantıları genellikle kimlik bilgilerinin geçerliliğini doğrulamak için basit bir GetCallerIdentity API çağrısıyla başladı ve bunu Amazon Simple Email Service’i hedefleyen GetSendQuota sorguları takip etti.
VPN hizmetlerine veya TOR düğümlerine dayanan tipik bulut saldırılarının aksine, TruffleNet IP adreslerinin büyük çoğunluğu önceden kötü niyetli bir itibara sahip değildi; bu da, yalnızca bu kampanyaya özel olarak özel olarak oluşturulmuş bir altyapıya işaret ediyor.
Daha ileri analizler, saldırganların DKIM şifreleme anahtarlarını ele geçirmek için ele geçirilen WordPress sitelerini kullandığını ve ardından AWS SES’i kendileri adına e-posta gönderecek şekilde yapılandırdıklarını ortaya çıkardı.
Bu karmaşık teknik, çalınan kimlik doğrulama bilgilerini kullanarak SES içinde birden fazla e-posta kimliği oluşturmayı içeriyordu ve saldırganların meşru kuruluşların kimliğine bürünmesine olanak tanıyordu.
Kampanya, dolandırıcıların ZoomInfo’dan geldiği iddia edilen faturalar gönderip 50.000 ABD Doları tutarında ACH ödemesi talep etmesiyle, petrol ve gaz sektörüne yönelik Hedefli Ticari E-posta Uzlaşması saldırılarıyla sonuçlandı.
Hileli iletişimler, ödeme sorgularını yazım hatası yapılmış alanlara yönlendirerek, saldırganların sosyal mühendislik süreci boyunca güvenilirliği koruma konusunda ayrıntılara ne kadar dikkat ettiklerini ortaya koydu.
Teknik Altyapı ve Saldırı Metodolojisi
TruffleNet altyapısı, katmanlı mimari tasarımı sayesinde gelişmiş operasyonel güvenlik sergiledi.
Ana bilgisayar düzeyindeki analiz, çoğunluğu ABD merkezli sağlayıcılar WS Telecom Inc. ve Hivelocity LLC ile eşlenen 10 barındırma özerk sistem numarasını belirledi.
Çoğu ana bilgisayar 5432 ve 3389 numaralı bağlantı noktalarını açık tutuyordu, ancak bunlar standart PostgreSQL ve RDP atamalarından farklı amaçlarla kullanılmıştı.
Portainer’ın çok sayıda düğüme konuşlandırılması, saldırganlara merkezi bir yönetim arayüzü sağladı ve büyük ölçekli kimlik bilgisi test operasyonlarını koordine etmek için hizmet olarak altyapı olarak etkin bir şekilde işlev gördü.
.webp)
Saldırı ilerlemesi, belirli bir sırayla yürütülen birden fazla AWS API çağrısını içeriyordu. İlk keşif sonrasında saldırganlar yeni IAM kimlikleri oluşturarak ayrıcalık yükseltme girişiminde bulundu ancak bu çaba birçok durumda başarısız oldu.
Ancak ele geçirilen bir kullanıcı hesabı, SES ile doğrudan etkileşim kurmak için yeterli ayrıcalıklara sahipti. CreateEmailIdentity API isteği, daha önce ele geçirilen alanlardan çalınan DKIM imzalama özelliklerini içeriyordu ve FortiGuard Labs’ın analizinde aşağıdaki teknik uygulama gözlemlendi:
{"dkimSigningAttributes":{"domainSigningAttributesOrigin":"AWS_SES_US_EAST_1","domainSigningPrivateKey":"HIDDEN_DUE_TO_SECURITY_REASONS"},"emailIdentity":"cfp-impactaction[.]com"}Bu istek parametresi, saldırganların harici kaynaklardan güvenliği ihlal edilmiş şifreleme anahtarlarını içe aktararak meşru AWS işlevselliğini nasıl silah haline getirdiğini gösterir.
Kampanya sırasında sonuçta cfp-impactaction gibi alanlar da dahil olmak üzere altı e-posta kimliği oluşturuldu.[.]com, cndbenin[.]com ve Novainways[.]com.
Bu alanların birçoğu Fransa’daki barındırma altyapısını paylaşıyordu ve XMRig kripto madenciliği operasyonları ve Coroxy truva atı dahil diğer kötü amaçlı faaliyetlerle bağlantılar sergiledi.
Saldırganlar, altyapı hazırlığının hemen ardından Ticari E-posta Güvenliği Operasyonunu gerçekleştirdi ve güvenilirliği artırmak için satıcıya, kamuya açık işveren kimlik numaralarını içeren meşru görünen W-9 formları içeren katılım faturaları gönderdi.
FortiCNAPP’ın bileşik uyarı teknolojisi, anormal bulut bağlantıları, şüpheli otomasyon etkinliği ve saldırgan araç kullanımı dahil olmak üzere birden fazla davranışsal göstergeyi aynı anda değerlendirerek kampanyayı başarıyla tespit etti.
Platform, ağ anormalliklerini davranışsal sapmalarla ilişkilendiren yüksek güvenliğe sahip uyarılar oluşturarak güvenlik ekiplerine kimlik odaklı tehdide etkili bir şekilde yanıt vermeleri için eyleme dönüştürülebilir istihbarat sağladı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
