Μια εξελιγμένη ομάδα χάκερ με την ονομασία «EC2 Grouper» εκμεταλλεύεται εργαλεία AWS και παραβιάζει διαπιστευτήρια για να εξαπολύσει επιθέσεις σε περιβάλλοντα cloud.
Δείτε επίσης: Salt Typhoon: Θύμα της άλλη μία εταιρεία τηλεπικοινωνιών
Αυτός ο παράγοντας απειλής έχει παρατηρηθεί σε δεκάδες περιβάλλοντα πελατών τα τελευταία δύο χρόνια, καθιστώντας τον μια από τις πιο ενεργές ομάδες που παρακολουθούνται από ειδικούς στον τομέα της ασφάλειας στον κυβερνοχώρο.
Οι ερευνητές της Fortinet παρατήρησαν ότι η ομάδα EC2 Grouper χαρακτηρίζεται από τη συνεπή χρήση εργαλείων AWS, ιδιαίτερα του PowerShell, για την εκτέλεση επιθέσεων. Η ομάδα χρησιμοποιεί μια χαρακτηριστική συμβολοσειρά παράγοντα χρήστη και μια μοναδική σύμβαση ονοματοδοσίας ομάδας ασφαλείας, δημιουργώντας συχνά πολλαπλές ομάδες με ονόματα όπως “ec2group“, “ec2group1” έως “ec2group12345“.
Xάκερ παρακάμπτουν την προστασία phishing του iMessage
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Οι εισβολείς λαμβάνουν κυρίως διαπιστευτήρια από αποθετήρια κώδικα που σχετίζονται με έγκυρους λογαριασμούς. Μόλις αποκτήσουν αυτά τα διαπιστευτήρια, αξιοποιούν τα API για αναγνώριση, δημιουργία ομάδων ασφαλείας και παροχή πόρων.
Οι τακτικές τους περιλαμβάνουν την πραγματοποίηση κλήσεων στο DescribeInstanceTypes για την απογραφή τύπων EC2 και στο DescribeRegions για τη συλλογή πληροφοριών σχετικά με τις διαθέσιμες περιοχές.
Δείτε ακόμα: Χάκερ κλέβουν πιστωτικές κάρτες πελατών της ZAGG λόγω παραβίασης
Είναι ενδιαφέρον ότι οι ερευνητές δεν έχουν παρατηρήσει κλήσεις προς το AuthorizeSecurityGroupIngress, το οποίο συνήθως απαιτείται για τη διαμόρφωση της εισερχόμενης πρόσβασης σε παρουσίες EC2 που εκκινούνται με την ομάδα ασφαλείας.
Ωστόσο, έχουν σημειώσει περιπτώσεις κλήσεων CreateInternetGateway και CreateVpc, οι οποίες είναι απαραίτητες για απομακρυσμένη πρόσβαση.
Ενώ οι απώτεροι στόχοι της ομάδας παραμένουν ανεπιβεβαίωτοι, οι ειδικοί πιστεύουν ότι η πειρατεία πόρων είναι πιθανότατα ο πρωταρχικός τους στόχος. Δεν έχει παρατηρηθεί χειροκίνητη δραστηριότητα ή ενέργειες που να βασίζονται σε συγκεκριμένους στόχους σε περιβάλλοντα cloud που έχουν παραβιαστεί, αναφέρεται στην έκθεση.
Ο εντοπισμός των δραστηριοτήτων του EC2 Grouper θέτει σημαντικές προκλήσεις για τις ομάδες ασφαλείας. Οι παραδοσιακοί δείκτες όπως οι πράκτορες χρηστών και τα ονόματα ομάδων έχουν αποδειχθεί αναξιόπιστα για την πλήρη ανίχνευση απειλών λόγω της παροδικής φύσης τους.
Αντίθετα, οι ειδικοί προτείνουν μια πιο διαφοροποιημένη προσέγγιση που συσχετίζει πολλαπλά αδύναμα σήματα για τον ακριβή εντοπισμό της κακόβουλης συμπεριφοράς.
Δείτε επίσης: Η σημασία της 24×7 παρακολούθησης τις γιορτές
Οι κυβερνοεπιθέσεις αποτελούν μια από τις μεγαλύτερες απειλές στον σύγχρονο ψηφιακό κόσμο. Καθώς οι τεχνολογίες εξελίσσονται, οι μέθοδοι των επιτιθέμενων γίνονται όλο και πιο εξελιγμένες, στοχεύοντας τόσο μεγάλες επιχειρήσεις όσο και μεμονωμένους χρήστες. Συχνά, οι κυβερνοεπιθέσεις περιλαμβάνουν την κλοπή προσωπικών δεδομένων, τη χρήση κακόβουλου λογισμικού ή και τις επιθέσεις τύπου ransomware, προκαλώντας σοβαρά οικονομικά και κοινωνικά προβλήματα. Η προστασία από τις κυβερνοεπιθέσεις απαιτεί συνδυασμό τεχνολογικών μέτρων και ορθών πρακτικών. Οι οργανισμοί καλούνται να επενδύσουν σε λύσεις κυβερνοασφάλειας, όπως λογισμικό προστασίας, τείχη προστασίας και τακτικές ενημερώσεις συστημάτων. Ταυτόχρονα, η ευαισθητοποίηση και η εκπαίδευση των χρηστών σχετικά με τις απειλές, όπως τα phishing emails ή οι μη ασφαλείς ιστοσελίδες, είναι εξίσου καθοριστικής σημασίας. Ένα καλά δομημένο σχέδιο αντιμετώπισης έκτακτων περιστατικών μπορεί να μειώσει σημαντικά τις επιπτώσεις μιας επίθεσης, αποτρέποντας μελλοντικούς κινδύνους.
Πηγή: cybersecuritynews