Коварные хакеры способны зарабатывать на криптоджекинге до 4000 долларов в день, но финансовая выгода — не их основной приоритет.
Хакеры SCARLETEEL продолжают атаковать облачные среды, не желая менять вектор своей деятельности. Теперь злоумышленники нацелились на Fargate , один из сервисов Amazon Web Services ( AWS ).
«Облачные среды по-прежнему являются их основной целью, но инструменты и методы, которые они используют, адаптировались для обхода новых мер безопасности, а также стали более устойчивыми и незаметными», — заявил в Для просмотра ссылки Войдиили Зарегистрируйся Алессандро Брукато, исследователь безопасности из компании Sysdig .
Вредоносная операция SCARLETEEL впервые Для просмотра ссылки Войдиили Зарегистрируйся специалистами Sysdig в феврале 2023 года. Тогда они описали сложную цепочку атак, которая заканчивалась кражей конфиденциальных данных из инфраструктуры AWS и развёртыванием криптомайнеров для незаконного использования ресурсов заражённых систем.
Для просмотра ссылки Войдиили Зарегистрируйся компании Cado Security выявил возможные связи SCARLETEEL с Для просмотра ссылки Войди или Зарегистрируйся группой криптоджекеров TeamTNT, хотя в Sysdig сообщили, что кто-то может просто копировать их методологию и модели атак.
Последняя выявленная активность SCARLETEEL продолжает увлечение злоумышленников AWS-аккаунтами, которые они атакуют через уязвимые веб-приложения с целью получить постоянный доступ, украсть интеллектуальную собственность и потенциально заработать до 4000 долларов в день с помощью криптомайнеров, эксплуатирующих высокопроизводительные серверы Amazon.
«Злоумышленники обнаружили и эксплуатировали ошибку в политике AWS, которая позволила им эскалировать свои привилегии до администраторского доступа и получить полный контроль над аккаунтом», — объяснил Брукато.
Цепочка атаки начинается с того, что хакеры эксплуатируют контейнеры Jupyter Notebook , развёрнутые в кластере Kubernetes , используя первоначальный доступ для разведки целевой сети. Попутно злоумышленники производят сбор учётных данных AWS для получения более глубокого доступа в среду жертвы.
Затем следует установка командной строки AWS и фреймворка Pacu для последующих атак. Атака также выделяется своим использованием различных скриптов для извлечения учётных данных AWS, некоторые из которых нацелены на экземпляры вычислительного движка AWS Fargate.
К другим шагам, предпринятым атакующими, относятся использование инструмента для тестирования на проникновение Kubernetes под названием Peirates для эксплуатации системы управления контейнерами, а также вредоносной программы DDoS - ботнета под названием Pandora, что свидетельствует о дальнейших попытках киберпреступников монетизировать взломанный хост.
«Акторы SCARLETEEL продолжают действовать против целей в облаке, включая AWS и Kubernetes. Их предпочтительным методом входа является эксплуатация открытых вычислительных сервисов и уязвимых приложений. Они по-прежнему фокусируются на получении прибыли за счёт криптомайнинга, однако их приоритетом по-прежнему является похищение интеллектуальной собственности жертв», — заключил эксперт компании Sysdig.
Хакеры SCARLETEEL продолжают атаковать облачные среды, не желая менять вектор своей деятельности. Теперь злоумышленники нацелились на Fargate , один из сервисов Amazon Web Services ( AWS ).
«Облачные среды по-прежнему являются их основной целью, но инструменты и методы, которые они используют, адаптировались для обхода новых мер безопасности, а также стали более устойчивыми и незаметными», — заявил в Для просмотра ссылки Войди
Вредоносная операция SCARLETEEL впервые Для просмотра ссылки Войди
Для просмотра ссылки Войди
Последняя выявленная активность SCARLETEEL продолжает увлечение злоумышленников AWS-аккаунтами, которые они атакуют через уязвимые веб-приложения с целью получить постоянный доступ, украсть интеллектуальную собственность и потенциально заработать до 4000 долларов в день с помощью криптомайнеров, эксплуатирующих высокопроизводительные серверы Amazon.
«Злоумышленники обнаружили и эксплуатировали ошибку в политике AWS, которая позволила им эскалировать свои привилегии до администраторского доступа и получить полный контроль над аккаунтом», — объяснил Брукато.
Цепочка атаки начинается с того, что хакеры эксплуатируют контейнеры Jupyter Notebook , развёрнутые в кластере Kubernetes , используя первоначальный доступ для разведки целевой сети. Попутно злоумышленники производят сбор учётных данных AWS для получения более глубокого доступа в среду жертвы.
Затем следует установка командной строки AWS и фреймворка Pacu для последующих атак. Атака также выделяется своим использованием различных скриптов для извлечения учётных данных AWS, некоторые из которых нацелены на экземпляры вычислительного движка AWS Fargate.
К другим шагам, предпринятым атакующими, относятся использование инструмента для тестирования на проникновение Kubernetes под названием Peirates для эксплуатации системы управления контейнерами, а также вредоносной программы DDoS - ботнета под названием Pandora, что свидетельствует о дальнейших попытках киберпреступников монетизировать взломанный хост.
«Акторы SCARLETEEL продолжают действовать против целей в облаке, включая AWS и Kubernetes. Их предпочтительным методом входа является эксплуатация открытых вычислительных сервисов и уязвимых приложений. Они по-прежнему фокусируются на получении прибыли за счёт криптомайнинга, однако их приоритетом по-прежнему является похищение интеллектуальной собственности жертв», — заключил эксперт компании Sysdig.
- Источник новости
- www.securitylab.ru