Uma sofisticada campanha de roubo de credenciais de nuvem e criptomineração direcionada aos ambientes Amazon Web Services (AWS) nos últimos meses agora se expandiu para o Azure e o Google Cloud Platform (GCP) também. E as ferramentas usadas na campanha compartilham uma sobreposição considerável com aquelas associadas ao TeamTNT, um notório agente de ameaças com motivação financeira, determinaram os pesquisadores.
O direcionamento mais amplo parece ter começado em junho, de acordo com pesquisadores da SentinelOne e da Permiso , e é consistente com uma série contínua de refinamentos incrementais que o agente da ameaça por trás da campanha vem fazendo desde que a série de ataques começou em dezembro.
Em relatórios separados destacando suas principais conclusões, as empresas observaram que os ataques direcionados aos serviços de nuvem do Azure e do Google envolvem os mesmos scripts de ataque principais que o grupo de ameaças por trás deles vem usando na campanha da AWS. No entanto, os recursos do Azure e do GCP são muito incipientes e menos desenvolvidos do que as ferramentas da AWS, diz Alex Delamotte, pesquisador de ameaças da SentinelOne.
“O ator só implementou o módulo de coleta de credenciais do Azure nos ataques mais recentes – 24 de junho e mais recentes”, diz ela. “O desenvolvimento tem sido consistente e provavelmente veremos mais ferramentas surgindo nas próximas semanas com automações sob medida para esses ambientes, caso o invasor as considere um investimento valioso”.
Cibercriminosos perseguindo instâncias expostas do Docker
O grupo de ameaças TeamTNT é bem conhecido por visar serviços de nuvem expostos e prosperar na exploração de configurações e vulnerabilidades de nuvem incorretas . Embora o TeamTNT tenha se concentrado inicialmente em campanhas de criptomineração, mais recentemente se expandiu para atividades de roubo de dados e implantação de backdoor, o que reflete a atividade mais recente.
Nesse sentido, de acordo com SentinelOne e Permiso, o invasor começou a visar os serviços expostos do Docker no mês passado, usando scripts de shell recém-modificados que são projetados para determinar o ambiente em que estão, traçar o perfil dos sistemas, procurar arquivos de credenciais e exfiltrar eles. Os scripts também contêm uma função para coletar detalhes de variáveis de ambiente, provavelmente usadas para determinar se existem outros serviços valiosos no sistema para serem direcionados posteriormente, disseram os pesquisadores do SentineOne.
O conjunto de ferramentas do invasor enumera as informações do ambiente de serviço, independentemente do provedor de serviços em nuvem subjacente, diz Delamotte. “A única automação que vimos para o Azure ou o GCP estava relacionada à coleta de credenciais. Qualquer atividade subsequente é provavelmente manual no teclado.”
As descobertas se somam à pesquisa da Aqua Security, que recentemente mostrou atividades maliciosas direcionadas às APIs Docker e JupyterLab voltadas para o público . Os pesquisadores do Aqua atribuíram a atividade – com alto nível de confiança – ao TeamTNT.
Implantando Cloud Worms
Eles avaliaram que o agente da ameaça estava preparando um “worm de nuvem agressivo” projetado para implantar em ambientes AWS, com o objetivo de facilitar o roubo de credenciais de nuvem, sequestro de recursos e a implantação de um backdoor chamado “Tsunami”.
Da mesma forma, a análise conjunta do SentinelOne e da Permiso sobre a ameaça em evolução mostrou que, além dos scripts de shell de ataques anteriores, o TeamTNT agora está fornecendo um binário ELF baseado em Golang e empacotado em UPX. O binário basicamente descarta e executa outro script de shell para escanear um intervalo especificado pelo invasor e se propagar para outros alvos vulneráveis.
Esse mecanismo de propagação de worming procura sistemas respondendo com um agente de usuário de versão específica do Docker, diz Delamotte. Essas instâncias do Docker podem ser hospedadas por meio do Azure ou do GCP. “Outros relatórios observam que esses atores exploram os serviços Jupyter voltados para o público, onde os mesmos conceitos se aplicam”, diz Delamotte, acrescentando que ela acredita que o TeamTNT está apenas testando suas ferramentas no ambiente Azure e GCP, em vez de procurar atingir objetivos específicos nos afetados sistemas.
Também na frente do movimento lateral, a Sysdig atualizou na semana passada um relatório publicado pela primeira vez em dezembro, com novos detalhes da campanha de roubo de credenciais e criptomineração da nuvem ScarletEel direcionada aos serviços AWS e Kubernetes, que SentinelOne e Permiso vincularam à atividade TeamTNT. Sysdig determinou que um dos principais objetivos da campanha é roubar as credenciais da AWS e usá-las para explorar ainda mais o ambiente da vítima, instalando malware, roubando recursos e realizando outras atividades maliciosas.
Ataques como aquele contra ambientes da AWS relatados pela Sysdig envolvem o uso de estruturas de exploração conhecidas da AWS, incluindo uma chamada Pacu, observa Delamotte. As organizações que usam o Azure e o GCP devem presumir que os ataques contra seus ambientes envolverão estruturas semelhantes. Ela defende que os administradores conversem com suas equipes vermelhas para entender quais estruturas de ataque funcionam bem contra essas plataformas.
“Pacu é um conhecido favorito do time vermelho por atacar a AWS”, diz ela. “Podemos esperar que esses atores adotem outras estruturas de exploração bem-sucedidas”.
FONTE: DARKREADING