Os pesquisadores observaram o agente de ameaças financeiramente motivado ScarletEel se infiltrando na Amazon Web Services (AWS) para roubar credenciais e propriedade intelectual, plantar software de mineração de criptomoedas, realizar ataques distribuídos de negação de serviço (DDoS) e muito mais.
O ator da ameaça foi revelado pela primeira vez em um post de fevereiro da empresa de segurança em nuvem Sysdig. O grupo é claramente experiente com as ferramentas da AWS, injetando-se em um ambiente de nuvem e usando a funcionalidade nativa da AWS para se mover lateralmente com facilidade. E com o tipo certo de acesso, é conhecido por realizar um golpe duplo: plantar software de criptomineração ao mesmo tempo em que rouba propriedade intelectual.
A ScarletEel também continua a refinar suas táticas, de acordo com a análise mais recente da empresa – fugindo dos mecanismos de detecção de segurança na nuvem e chegando ao pouco tocado mecanismo de computação AWS Fargate. E expandiu seu arsenal adicionando DDoS-as-a-service à sua lista de técnicas de exploração.
“Então, em comparação com sua atividade anterior, vemos que eles estão mais conscientes do ambiente da vítima e aprimoraram suas habilidades em termos de para onde ir, como explorá-lo e como evitar as medidas de segurança defensiva que os clientes já começaram a implementar”, diz Alessandro Brucato, engenheiro de pesquisa de ameaças da Sysdig.
Usando cada parte do animal
A ScarletEel começou sua mais recente intrusão explorando contêineres de notebook Jupyter em um cluster Kubernetes. Em seguida, os invasores executaram scripts para procurar credenciais da AWS que poderiam enviar de volta ao servidor de comando e controle (C2). Em vez de usar ferramentas de linha de comando, os scripts usavam comandos internos do shell. “Esta é uma maneira mais furtiva de exfiltrar dados, já que curl e wget não são usados, o que muitas ferramentas monitoram especificamente”, apontaram os pesquisadores.
A ScarletEel também utilizou o Pacu, uma ferramenta de pentesting de código aberto para a AWS, para revelar oportunidades de escalonamento de privilégios na conta da vítima. Em paralelo, usou o Peirates, uma ferramenta equivalente para explorar e explorar o ambiente Kubernetes de uma vítima.
Para mascarar sua atividade, os hackers criaram um mecanismo de defesa inteligente.
“Em vez de lidar diretamente com a AWS, eles estavam realmente usando um servidor russo que suporta o protocolo da AWS”, explica Michael Clark, diretor de pesquisa de ameaças da Sysdig. Viver da terra com comandos nativos da AWS mascarava a malícia da atividade. Enquanto isso, ele não foi registrado nos logs do AWS CloudTrail da vítima, porque tudo aconteceu no site russo.
Como Sysdig observou em fevereiro, os principais objetivos da ScarletEel são roubar software proprietário e realizar cryptojacking.
Em sua campanha mais recente, os hackers derrubaram 42 instâncias de criptomineradores por meio de uma conta comprometida. Isso fez barulho suficiente para que eles fossem rapidamente detectados e apagados, mas os atacantes não se assustaram. Mesmo depois de serem pegos, eles tentaram usar outras contas novas e comprometidas, mas falharam devido à falta de privilégios.
Os pesquisadores estimaram que, se o ataque continuasse inabalável, teria devolvido cerca de US$ 4.000 em recompensas de criptomineração diariamente.
Além do roubo de IP e do cryptojacking, o grupo também plantou um malware pertencente à família de botnets Mirai chamado “Pandora”. Os pesquisadores especularam que os invasores usariam dispositivos infectados pelo Pandora como parte de uma campanha separada e mais ampla de DDoS como serviço.
Falta de perícia da Fargate impede defesa
A segurança na nuvem pode ficar aquém de um invasor tão confortável nesses ambientes. Por exemplo, em sua atividade mais recente, os poderes aprimorados da ScarletEel permitiram que ela chegasse ao Fargate, a plataforma da AWS para executar contêineres sem servidor.
Fargate é um território desconhecido para hackers e defensores, já que, explica Clark, “muitas vezes não é acessível publicamente. Ele é usado para muitos propósitos internos e de back-end, e isso significa que as pessoas realmente não pensam nisso como parte de sua superfície de ataque.”
Ele acrescenta: “Mas, como vimos neste ataque, eles acabaram no sistema Fargate e pegaram suas credenciais. Então, eles definitivamente estão cientes das oportunidades lá, e é apenas uma questão de tempo até que eles entrem nisso.”
Para endurecer contra uma entidade como a ScarletEel, explica Brucato, “primeiro é preciso implementar algumas medidas para evitar que invasores entrem em seu ambiente. Mas se eles conseguirem fazer isso de qualquer maneira – porque agora estão ficando cada vez mais sofisticados – você também terá que implementar uma segurança de tempo de execução eficaz.” Clark enfatiza o valor do CSPM (gerenciamento de postura de segurança na nuvem) e do CIEM (gerenciamento de direitos de infraestrutura de nuvem).
“Não basta estar protegido de uma forma, porque os atacantes hoje estão realmente conscientes”, conclui Brucato. “Eles podem explorar qualquer detalhe.”
FONTE: DARK READING