Scarleteel,一个于 2 月首次被报道的威胁组,现已具备许多新的高级能力,能够针对容器自动化工具 AWS Fargate,同时开展 DDoSasaService 运动。
在 7 月 11 日的一则博客文章中,Sysdig 威胁研究团队指出,Scarleteel 仍然持续攻击云中的目标,包括 AWS 及Kubernetes 环境。该组织旨在利用开放的计算服务和脆弱的应用程序,并持续关注通过加密货币挖矿和盗取知识产权来获得经济利益。
黑洞加速下载官网研究人员还发现 Scarleteel 曾使用 AWS 客户端连接与亚马逊 S3 协议兼容的俄罗斯系统。
除了窃取 AWS 凭证,研究人员还表示,Scarleteel 实施了其他攻击,包括针对 Kubernetes 环境的攻击。例如,他们利用 Kubernetes 渗透测试工具 peirates 进一步利用 Kubernetes 环境。
该威胁参与者还下载并执行了与 Mirai 僵尸网络相关的恶意软件 Pandora,该恶意软件主要针对连接到互联网的物联网设备,自 2016 年以来对许多大规模 DDoS 攻击负责。研究人员将 Pandora 攻击与 DDoSasaService 运动联系在一起,攻击者为此提供 DDoS 能力以牟利。
根据 Netenrich 的首席威胁猎手 John Bambenek 的解释,AWS 目前将 Fargate 提供为一种基于云的无服务器计算产品,允许组织在不启动完整虚拟机的情况下执行任务。Bambenek 指出,不幸的是,无服务器应用程序从定义上就没有终端防御,这使得如何妥善保障其安全开启了一个全新的领域。
“一个简单但代价高昂的攻击方式是破坏云账户的凭证,启动资源进行加密货币挖矿,”Bambenek 表示。“由于攻击者无需支付账单,这种攻击是 100 有利可图的。”
Vulcan Cyber 的高级技术工程师 Mike Parkin 表示,虽然安全专家应该对 Fargate 的安全性有更高的期望,但威胁参与者的工具和技术正在不断改进。
“这意味着他们通常能够找到绕过新安全措施的方法,”Parkin 表示。他补充道:“在这种情况下,攻击者利用现有的 AWS 功能进行‘就地生存’,并滥用本来合法的渗透测试工具来进一步实现他们的目标。值得注意的是,攻击者显然使用了一个支持 AWS 协议的俄罗斯服务器来掩盖他们的活动。另一个重点是他们使用被盗账户,这进一步强调了需要更强身份验证的必要性。”
威胁组攻击手段目标Scarleteel窃取 AWS 凭证、利用 Kubernetes 渗透测试工具云环境、物联网设备相关链接:了解更多关于 AWS Fargate 的信息
