SCARLETEEL наносит новый удар: облачной службе AWS Fargate пришлось несладко

Хакеры SCARLETEEL продолжают атаковать облачные среды, не желая менять вектор своей деятельности. Теперь злоумышленники нацелились на Fargate, один из сервисов Amazon Web Services (AWS).

«Облачные среды по-прежнему являются их основной целью, но инструменты и методы, которые они используют, адаптировались для обхода новых мер безопасности, а также стали более устойчивыми и незаметными», — заявил в недавнем отчёте Алессандро Брукато, исследователь безопасности из компании Sysdig.

Вредоносная операция SCARLETEEL впервые была раскрыта специалистами Sysdig в феврале 2023 года. Тогда они описали сложную цепочку атак, которая заканчивалась кражей конфиденциальных данных из инфраструктуры AWS и развёртыванием криптомайнеров для незаконного использования ресурсов заражённых систем.

Мартовский анализ компании Cado Security выявил возможные связи SCARLETEEL с известной группой криптоджекеров TeamTNT, хотя в Sysdig сообщили, что кто-то может просто копировать их методологию и модели атак.

Последняя выявленная активность SCARLETEEL продолжает увлечение злоумышленников AWS-аккаунтами, которые они атакуют через уязвимые веб-приложения с целью получить постоянный доступ, украсть интеллектуальную собственность и потенциально заработать до 4000 долларов в день с помощью криптомайнеров, эксплуатирующих высокопроизводительные серверы Amazon.

«Злоумышленники обнаружили и эксплуатировали ошибку в политике AWS, которая позволила им эскалировать свои привилегии до администраторского доступа и получить полный контроль над аккаунтом», — объяснил Брукато.

Цепочка атаки начинается с того, что хакеры эксплуатируют контейнеры Jupyter Notebook, развёрнутые в кластере Kubernetes, используя первоначальный доступ для разведки целевой сети. Попутно злоумышленники производят сбор учётных данных AWS для получения более глубокого доступа в среду жертвы.

Затем следует установка командной строки AWS и фреймворка Pacu для последующих атак. Атака также выделяется своим использованием различных скриптов для извлечения учётных данных AWS, некоторые из которых нацелены на экземпляры вычислительного движка AWS Fargate.

К другим шагам, предпринятым атакующими, относятся использование инструмента для тестирования на проникновение Kubernetes под названием Peirates для эксплуатации системы управления контейнерами, а также вредоносной программы DDoS-ботнета под названием Pandora, что свидетельствует о дальнейших попытках киберпреступников монетизировать взломанный хост.

«Акторы SCARLETEEL продолжают действовать против целей в облаке, включая AWS и Kubernetes. Их предпочтительным методом входа является эксплуатация открытых вычислительных сервисов и уязвимых приложений. Они по-прежнему фокусируются на получении прибыли за счёт криптомайнинга, однако их приоритетом по-прежнему является похищение интеллектуальной собственности жертв», — заключил эксперт компании Sysdig.