SCARLETEEL наносит новый удар: облачной службе AWS Fargate пришлось несладко

SCARLETEEL наносит новый удар: облачной службе AWS Fargate пришлось несладко

Коварные хакеры способны зарабатывать на криптоджекинге до 4000 долларов в день, но финансовая выгода — не их основной приоритет.

image

Хакеры SCARLETEEL продолжают атаковать облачные среды, не желая менять вектор своей деятельности. Теперь злоумышленники нацелились на Fargate, один из сервисов Amazon Web Services (AWS).

«Облачные среды по-прежнему являются их основной целью, но инструменты и методы, которые они используют, адаптировались для обхода новых мер безопасности, а также стали более устойчивыми и незаметными», — заявил в недавнем отчёте Алессандро Брукато, исследователь безопасности из компании Sysdig.

Вредоносная операция SCARLETEEL впервые была раскрыта специалистами Sysdig в феврале 2023 года. Тогда они описали сложную цепочку атак, которая заканчивалась кражей конфиденциальных данных из инфраструктуры AWS и развёртыванием криптомайнеров для незаконного использования ресурсов заражённых систем.

Мартовский анализ компании Cado Security выявил возможные связи SCARLETEEL с известной группой криптоджекеров TeamTNT, хотя в Sysdig сообщили, что кто-то может просто копировать их методологию и модели атак.

Последняя выявленная активность SCARLETEEL продолжает увлечение злоумышленников AWS-аккаунтами, которые они атакуют через уязвимые веб-приложения с целью получить постоянный доступ, украсть интеллектуальную собственность и потенциально заработать до 4000 долларов в день с помощью криптомайнеров, эксплуатирующих высокопроизводительные серверы Amazon.

«Злоумышленники обнаружили и эксплуатировали ошибку в политике AWS, которая позволила им эскалировать свои привилегии до администраторского доступа и получить полный контроль над аккаунтом», — объяснил Брукато.

Цепочка атаки начинается с того, что хакеры эксплуатируют контейнеры Jupyter Notebook, развёрнутые в кластере Kubernetes, используя первоначальный доступ для разведки целевой сети. Попутно злоумышленники производят сбор учётных данных AWS для получения более глубокого доступа в среду жертвы.

Затем следует установка командной строки AWS и фреймворка Pacu для последующих атак. Атака также выделяется своим использованием различных скриптов для извлечения учётных данных AWS, некоторые из которых нацелены на экземпляры вычислительного движка AWS Fargate.

К другим шагам, предпринятым атакующими, относятся использование инструмента для тестирования на проникновение Kubernetes под названием Peirates для эксплуатации системы управления контейнерами, а также вредоносной программы DDoS-ботнета под названием Pandora, что свидетельствует о дальнейших попытках киберпреступников монетизировать взломанный хост.

«Акторы SCARLETEEL продолжают действовать против целей в облаке, включая AWS и Kubernetes. Их предпочтительным методом входа является эксплуатация открытых вычислительных сервисов и уязвимых приложений. Они по-прежнему фокусируются на получении прибыли за счёт криптомайнинга, однако их приоритетом по-прежнему является похищение интеллектуальной собственности жертв», — заключил эксперт компании Sysdig.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!