Новости SCARLETEEL наносит новый удар: облачной службе AWS Fargate пришлось несладко

NewsMaker

I'm just a script
Премиум
13,851
20
8 Ноя 2022
Коварные хакеры способны зарабатывать на криптоджекинге до 4000 долларов в день, но финансовая выгода — не их основной приоритет.


7ac4va2g3g9ljwdzx3frsf0y7f9ejj85.jpg


Хакеры SCARLETEEL продолжают атаковать облачные среды, не желая менять вектор своей деятельности. Теперь злоумышленники нацелились на Fargate , один из сервисов Amazon Web Services ( AWS ).

«Облачные среды по-прежнему являются их основной целью, но инструменты и методы, которые они используют, адаптировались для обхода новых мер безопасности, а также стали более устойчивыми и незаметными», — заявил в Для просмотра ссылки Войди или Зарегистрируйся Алессандро Брукато, исследователь безопасности из компании Sysdig .

Вредоносная операция SCARLETEEL впервые Для просмотра ссылки Войди или Зарегистрируйся специалистами Sysdig в феврале 2023 года. Тогда они описали сложную цепочку атак, которая заканчивалась кражей конфиденциальных данных из инфраструктуры AWS и развёртыванием криптомайнеров для незаконного использования ресурсов заражённых систем.

Для просмотра ссылки Войди или Зарегистрируйся компании Cado Security выявил возможные связи SCARLETEEL с Для просмотра ссылки Войди или Зарегистрируйся группой криптоджекеров TeamTNT, хотя в Sysdig сообщили, что кто-то может просто копировать их методологию и модели атак.

Последняя выявленная активность SCARLETEEL продолжает увлечение злоумышленников AWS-аккаунтами, которые они атакуют через уязвимые веб-приложения с целью получить постоянный доступ, украсть интеллектуальную собственность и потенциально заработать до 4000 долларов в день с помощью криптомайнеров, эксплуатирующих высокопроизводительные серверы Amazon.

«Злоумышленники обнаружили и эксплуатировали ошибку в политике AWS, которая позволила им эскалировать свои привилегии до администраторского доступа и получить полный контроль над аккаунтом», — объяснил Брукато.

Цепочка атаки начинается с того, что хакеры эксплуатируют контейнеры Jupyter Notebook , развёрнутые в кластере Kubernetes , используя первоначальный доступ для разведки целевой сети. Попутно злоумышленники производят сбор учётных данных AWS для получения более глубокого доступа в среду жертвы.

Затем следует установка командной строки AWS и фреймворка Pacu для последующих атак. Атака также выделяется своим использованием различных скриптов для извлечения учётных данных AWS, некоторые из которых нацелены на экземпляры вычислительного движка AWS Fargate.

К другим шагам, предпринятым атакующими, относятся использование инструмента для тестирования на проникновение Kubernetes под названием Peirates для эксплуатации системы управления контейнерами, а также вредоносной программы DDoS - ботнета под названием Pandora, что свидетельствует о дальнейших попытках киберпреступников монетизировать взломанный хост.

«Акторы SCARLETEEL продолжают действовать против целей в облаке, включая AWS и Kubernetes. Их предпочтительным методом входа является эксплуатация открытых вычислительных сервисов и уязвимых приложений. Они по-прежнему фокусируются на получении прибыли за счёт криптомайнинга, однако их приоритетом по-прежнему является похищение интеллектуальной собственности жертв», — заключил эксперт компании Sysdig.
 
Источник новости
www.securitylab.ru

Похожие темы