HomeSecurityΗ EC2 Grouper καταχράται εργαλεία AWS για επιθέσεις

Η EC2 Grouper καταχράται εργαλεία AWS για επιθέσεις

Μια εξελιγμένη ομάδα χάκερ με την ονομασία «EC2 Grouper» εκμεταλλεύεται εργαλεία AWS και παραβιάζει διαπιστευτήρια για να εξαπολύσει επιθέσεις σε περιβάλλοντα cloud.

Δείτε επίσης: Salt Typhoon: Θύμα της άλλη μία εταιρεία τηλεπικοινωνιών

EC2 Grouper

Αυτός ο παράγοντας απειλής έχει παρατηρηθεί σε δεκάδες περιβάλλοντα πελατών τα τελευταία δύο χρόνια, καθιστώντας τον μια από τις πιο ενεργές ομάδες που παρακολουθούνται από ειδικούς στον τομέα της ασφάλειας στον κυβερνοχώρο.

Οι ερευνητές της Fortinet παρατήρησαν ότι η ομάδα EC2 Grouper χαρακτηρίζεται από τη συνεπή χρήση εργαλείων AWS, ιδιαίτερα του PowerShell, για την εκτέλεση επιθέσεων. Η ομάδα χρησιμοποιεί μια χαρακτηριστική συμβολοσειρά παράγοντα χρήστη και μια μοναδική σύμβαση ονοματοδοσίας ομάδας ασφαλείας, δημιουργώντας συχνά πολλαπλές ομάδες με ονόματα όπως “ec2group“, “ec2group1” έως “ec2group12345“.

Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας

SecNewsTV 10 Ιανουάριος 2025, 18:44 18:44

Οι εισβολείς λαμβάνουν κυρίως διαπιστευτήρια από αποθετήρια κώδικα που σχετίζονται με έγκυρους λογαριασμούς. Μόλις αποκτήσουν αυτά τα διαπιστευτήρια, αξιοποιούν τα API για αναγνώριση, δημιουργία ομάδων ασφαλείας και παροχή πόρων.

Οι τακτικές τους περιλαμβάνουν την πραγματοποίηση κλήσεων στο DescribeInstanceTypes για την απογραφή τύπων EC2 και στο DescribeRegions για τη συλλογή πληροφοριών σχετικά με τις διαθέσιμες περιοχές.

Δείτε ακόμα: Χάκερ κλέβουν πιστωτικές κάρτες πελατών της ZAGG λόγω παραβίασης

Είναι ενδιαφέρον ότι οι ερευνητές δεν έχουν παρατηρήσει κλήσεις προς το AuthorizeSecurityGroupIngress, το οποίο συνήθως απαιτείται για τη διαμόρφωση της εισερχόμενης πρόσβασης σε παρουσίες EC2 που εκκινούνται με την ομάδα ασφαλείας.

 εργαλεία AWS

Ωστόσο, έχουν σημειώσει περιπτώσεις κλήσεων CreateInternetGateway και CreateVpc, οι οποίες είναι απαραίτητες για απομακρυσμένη πρόσβαση.

Ενώ οι απώτεροι στόχοι της ομάδας παραμένουν ανεπιβεβαίωτοι, οι ειδικοί πιστεύουν ότι η πειρατεία πόρων είναι πιθανότατα ο πρωταρχικός τους στόχος. Δεν έχει παρατηρηθεί χειροκίνητη δραστηριότητα ή ενέργειες που να βασίζονται σε συγκεκριμένους στόχους σε περιβάλλοντα cloud που έχουν παραβιαστεί, αναφέρεται στην έκθεση.

Ο εντοπισμός των δραστηριοτήτων του EC2 Grouper θέτει σημαντικές προκλήσεις για τις ομάδες ασφαλείας. Οι παραδοσιακοί δείκτες όπως οι πράκτορες χρηστών και τα ονόματα ομάδων έχουν αποδειχθεί αναξιόπιστα για την πλήρη ανίχνευση απειλών λόγω της παροδικής φύσης τους.

Αντίθετα, οι ειδικοί προτείνουν μια πιο διαφοροποιημένη προσέγγιση που συσχετίζει πολλαπλά αδύναμα σήματα για τον ακριβή εντοπισμό της κακόβουλης συμπεριφοράς.

Δείτε επίσης: Η σημασία της 24×7 παρακολούθησης τις γιορτές

Οι κυβερνοεπιθέσεις αποτελούν μια από τις μεγαλύτερες απειλές στον σύγχρονο ψηφιακό κόσμο. Καθώς οι τεχνολογίες εξελίσσονται, οι μέθοδοι των επιτιθέμενων γίνονται όλο και πιο εξελιγμένες, στοχεύοντας τόσο μεγάλες επιχειρήσεις όσο και μεμονωμένους χρήστες. Συχνά, οι κυβερνοεπιθέσεις περιλαμβάνουν την κλοπή προσωπικών δεδομένων, τη χρήση κακόβουλου λογισμικού ή και τις επιθέσεις τύπου ransomware, προκαλώντας σοβαρά οικονομικά και κοινωνικά προβλήματα. Η προστασία από τις κυβερνοεπιθέσεις απαιτεί συνδυασμό τεχνολογικών μέτρων και ορθών πρακτικών. Οι οργανισμοί καλούνται να επενδύσουν σε λύσεις κυβερνοασφάλειας, όπως λογισμικό προστασίας, τείχη προστασίας και τακτικές ενημερώσεις συστημάτων. Ταυτόχρονα, η ευαισθητοποίηση και η εκπαίδευση των χρηστών σχετικά με τις απειλές, όπως τα phishing emails ή οι μη ασφαλείς ιστοσελίδες, είναι εξίσου καθοριστικής σημασίας. Ένα καλά δομημένο σχέδιο αντιμετώπισης έκτακτων περιστατικών μπορεί να μειώσει σημαντικά τις επιπτώσεις μιας επίθεσης, αποτρέποντας μελλοντικούς κινδύνους.

Πηγή: cybersecuritynews

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS