Xάκερ SCARLETEEL: Πως κλέβουν πηγαίο κώδικα και δεδομένα;

Μια προηγμένη επιχείρηση hacking που ονομάζεται «SCARLETEEL» στοχεύει “public-facing web apps” που εκτελούνται σε containers για να διεισδύσουν σε υπηρεσίες cloud και να κλέψουν ευαίσθητα δεδομένα.

Η επιχείρηση SCARLETEEL ανακαλύφθηκε από την εταιρεία πληροφοριών για την ασφάλεια στον κυβερνοχώρο Sysdig ενώ ανταποκρινόταν σε ένα περιστατικό σε περιβάλλον cloud ενός από τους πελάτες της.

Ενώ οι εισβολείς ανέπτυξαν cryptominers στα παραβιασμένα περιβάλλοντα cloud, οι χάκερ έδειξαν προηγμένη τεχνογνωσία στη μηχανική cloud AWS, την οποία χρησιμοποίησαν για να τρυπώσουν περαιτέρω στην υποδομή cloud της εταιρείας.

Όπως αποκάλυψε το Sysdig, η υποτιθέμενη επίθεση κρυπτοδιείσδυσης των χάκερς ήταν απλώς ένα τέχνασμα για να αποκρύψουν τον πραγματικό τους στόχο: την κλοπή ιδιόκτητου λογισμικού.

Δείτε επίσης: Το νέο Exfiltrator-22 kit συνδέεται με το LockBit ransomware

SCARLETEEL επιθέσεις

Η επίθεση SCARLETEEL ξεκίνησε με τους χάκερ να εκμεταλλεύονται μια ευάλωτη δημόσια υπηρεσία σε ένα αυτοδιαχειριζόμενο σύμπλεγμα Kubernetes που φιλοξενείται στο Amazon Web Services (AWS).

Μόλις οι χάκερςεισέλθουν στο container, προμηθεύονται έναν XMRig coinminer (που υποτίθεται ότι είναι ένα τέχνασμα) και ένα script για την εξαγωγή διαπιστευτηρίων λογαριασμού από το Kubernetes pod.

Τα κλεμμένα credentials χρησιμοποιήθηκαν αμέσως για την εκτέλεση API calls του AWS, επιτυγχάνοντας το επίμονο persistence τους στο περιβάλλον cloud της εταιρείας. Αυτοί οι λογαριασμοί τους επέτρεψαν περαιτέρω να εξαπλωθούν κακόβουλα και κρυφά σε όλο το αντίστοιχο σύστημα.

Ανάλογα με τη διαμόρφωση του ρόλου του AWS cluster, οι εισβολείς μπορούν επίσης να αποκτήσουν πρόσβαση σε πληροφορίες Lambda, όπως λειτουργίες, configurations και κλειδιά πρόσβασης.

Δείτε επίσης: Ο νέος decryptor MortalKombat ransomware ανακτά τα αρχεία σας δωρεάν

Στη συνέχεια, ο εισβολέας χρησιμοποιεί τις συναρτήσεις Lambda για να απαριθμήσει και να ανακτήσει όλο τον αποκλειστικό κώδικα και το λογισμικό μαζί με τα κλειδιά εκτέλεσής του και τις μεταβλητές περιβάλλοντος της συνάρτησης Lambda για να βρει τα IAM user credentials και να τα αξιοποιήσει για επόμενους γύρους enumeration και κλιμάκωση προνομίων.

Το bucket enumeration του S3 πραγματοποιείται επίσης σε αυτό το στάδιο και τα αρχεία που είναι αποθηκευμένα σε cloud buckets είναι πιθανό να περιέχουν πολύτιμα δεδομένα για τους εισβολείς, όπως account credentials.

Δείτε επίσης: Η Dish Network επιβεβαιώνει ότι δέχτηκε επίθεση ransomware

Σε μια προσπάθεια να αποκρύψει την κακόβουλη δραστηριότητά του, ο επιτιθέμενος προσπάθησε να απενεργοποιήσει τα αρχεία καταγραφής CloudTrail στον παραβιασμένο λογαριασμό AWS του Sysdig, γεγονός που τελικά εμπόδισε τη διαδικασία έρευνας.

Ήταν προφανές ότι ο δράστης είχε πρόσβαση σε αρχεία κατάστασης Terraform από S3 buckets, ανακτώντας κλειδιά πρόσβασης χρηστών IAM και ένα εμπιστευτικό κλειδί για έναν επιπλέον λογαριασμό AWS. Αυτός ο τελευταίος λογαριασμός χρησιμοποιήθηκε στη συνέχεια για να διασχίσει όλη την υποδομή cloud της εταιρείας.

Πηγή πληροφοριών: bleepingcomputer.com