Una sofisticada campaña de ataque denominada SCARLETEEL se dirige a entornos en contenedores para perpetrar el robo de datos y software propietarios.
«El atacante explotó una carga de trabajo en contenedores y luego la aprovechó para realizar una escalada de privilegios en una cuenta de AWS con el fin de robar software y credenciales propietarios», dijo Sysdig en un nuevo informe.
El ataque avanzado a la nube también implicó el despliegue de software de criptominería, que la compañía de ciberseguridad dijo que es un intento de generar ganancias ilícitas o una estratagema para distraer a los defensores y sacarlos del camino.
El vector de infección inicial se basó en explotar un servicio público vulnerable en un clúster de Kubernetes autoadministrado alojado en Amazon Web Services (AWS).
Al obtener un punto de apoyo exitoso, se lanzó un criptominero XMRig y se utilizó un script bash para obtener credenciales que podrían usarse para profundizar en la infraestructura de la nube de AWS y filtrar datos confidenciales.
«O la criptominería era el objetivo inicial del atacante y el objetivo cambiaba una vez que accedían al entorno de la víctima, o la criptominería se usaba como señuelo para evadir la detección de la exfiltración de datos», dijo la compañía.
En particular, la intrusión también deshabilitó los registros de CloudTrail para minimizar la huella digital, evitando que Sysdig accediera a pruebas adicionales. En total, permitió al actor de amenazas acceder a más de 1 TB de datos, incluidos scripts de clientes, herramientas de solución de problemas y archivos de registro.
«También intentaron pivotar utilizando un archivo de estado de Terraform a otras cuentas de AWS conectadas para extender su alcance en toda la organización», dijo la compañía. Esto, sin embargo, resultó ser infructuoso debido a la falta de permisos.
Los hallazgos se producen semanas después de que Sysdig también detallara otra campaña de cryptojacking montada por la pandilla 8220 entre noviembre de 2022 y enero de 2023 dirigida al servidor web Apache explotable y a las aplicaciones Oracle Weblogic.
Fuente: https://thehackernews.com