'Scarleteel' olarak adlandırılan gelişmiş bir hackleme işlemi, bulut hizmetlerine sızmak ve hassas verileri çalmak için kapsayıcılarda çalışan kamuya açık web uygulamalarını hedefler.
Scarleteel, müşterilerinin bulut ortamlarından birindeki bir olaya yanıt verirken siber güvenlik istihbarat şirketi Sysdig tarafından keşfedildi.
Saldırganlar, tehlikeye atılan bulut ortamlarında kriptominerler kullanırken, bilgisayar korsanları AWS bulut mekaniğinde şirketin bulut altyapısına daha da gömüldükleri ileri uzmanlık gösterdi.
Sysdig, kriptaj saldırısının, tescilli yazılımın hırsızlığı olan tehdit aktörlerinin gerçek amacı için bir tuzak olarak kullanıldığına inanıyor.
Scarleteel saldırısı, bilgisayar korsanlarının Amazon Web Services (AWS) 'de barındırılan kendi kendini yöneten Kubernetes kümesinde kamuoyuna bakan savunmasız bir hizmetten yararlanmasıyla başladı.
Saldırganlar konteynere eriştikten sonra, bir tuzak olarak hizmet ettiğine inanılan bir Xmrig Coinminer ve Kubernetes Pod'dan hesap kimlik bilgilerini çıkarmak için bir komut dosyası indirirler.
Daha sonra çalınan kimlik bilgileri, daha fazla kimlik bilgilerini çalarak veya şirketin bulut ortamında arka kapı kullanıcıları ve grupları oluşturarak kalıcılık kazanmak için AWS API çağrıları yapmak için kullanıldı. Bu hesaplar daha sonra bulut ortamına daha fazla yayılmak için kullanıldı.
AWS küme rolü yapılandırmasına bağlı olarak, saldırganlar işlevler, yapılandırmalar ve erişim anahtarları gibi Lambda bilgilerine de erişebilir.
Daha sonra, saldırgan, IAM kullanıcı kimlik bilgilerini bulmak ve sonraki numaralandırma turları ve ayrıcalık artışı için bunları kullanmak için tüm tescilli kod ve yazılımları yürütme anahtarları ve Lambda işlev ortam değişkenleriyle birlikte numaralandırmak ve almak için Lambda işlevlerini kullanır.
S3 kova numaralandırması da bu aşamada meydana gelir ve bulut kovalarında depolanan dosyaların saldırganlar için hesap kimlik bilgileri gibi değerli veriler içermesi muhtemeldir.
Sysdig'in raporu, "Bu özel saldırı sırasında saldırgan, müşteri komut dosyaları, sorun giderme araçları ve günlük dosyaları dahil olmak üzere 1 TB'den fazla bilgi alabildi ve okuyabildi."
Geride kalan izleri en aza indirmek için saldırgan, Sysdig'in soruşturmasını olumsuz etkileyerek tehlikeye atılan AWS hesabındaki CloudTrail günlüklerini devre dışı bırakmaya çalıştı.
Bununla birlikte, saldırganın IAM kullanıcı erişim anahtarlarını içeren S3 kovalarından Terraform State dosyalarını ve ikinci bir AWS hesabı için gizli bir anahtardan aldığı açıktı. Bu hesap sonunda kuruluşun bulut ağı içindeki yanal hareket için kullanıldı.
İşletme, altyapılarını ve verilerini barındırmak için bulut hizmetlerine giderek daha fazla güvenirken, bilgisayar korsanları takip ediyor ve saldırılarına devam etmek için API'ler ve yönetim konsollarında uzmanlaşıyor.
Scarleteel saldırısı, bir kuruluşun bulut ortamındaki tek bir savunmasız noktanın, kalıcı ve bilgili tehdit aktörlerinin ağ infiltrasyonu ve hassas veri hırsızlığı için onu kullanmaları için yeterli olabileceğini kanıtlıyor.
SYSDIG, kuruluşların bulut altyapılarını benzer saldırılardan korumak için aşağıdaki güvenlik önlemlerini aldıklarını ileri sürüyor:
Sysdig ayrıca, koruma önlemlerinden kaçınsa bile, saldırganların kötü niyetli faaliyetlerinin derhal bildirilmesini sağlamak için kapsamlı bir tespit ve uyarı sistemi uygulanmasını önerir.
News Corp, devlet hackerlarının iki yıldır ağında olduğunu söylüyor
Pepsi şişeleme girişimleri kötü amaçlı yazılım saldırısından sonra veri ihlali yaşıyor
JD Sports, bilgisayar korsanlarının 10 milyon müşterinin verilerini çaldığını söylüyor
Zacks Yatırım Araştırma Veri İhlali 820.000 müşteriyi etkiler
T-Mobile, API veri ihlalinde 37 milyon hesaptan oluşan verileri çalmak için hacklendi
Kaynak: Bleeping Computer