یک بازیگر مخرب در ژوئن 2023 به یک کمپین سرقت اطلاعات ابری مرتبط شده است که بر سرویسهای Azure و Google Cloud Platform (GCP) متمرکز شده است و نشان دهنده گسترش دشمن در هدف قرار دادن فراتر از خدمات وب آمازون (AWS) است.
این یافتهها از SentinelOne و Permiso به دست آمده است که میگویند «کمپینها شباهتهایی با ابزارهای منتسب به خدمه مخفیجکر بدنام TeamTNT دارند»، اگرچه تأکید کردند که «اسناد با ابزارهای مبتنی بر اسکریپت همچنان چالشبرانگیز است».
آنها همچنین با کمپین در حال انجام TeamTNT افشا شده توسط Aqua به نام Silentbob همپوشانی دارند که از سرویس های ابری پیکربندی نادرست برای حذف بدافزارها به عنوان بخشی از آنچه گفته می شود یک تلاش آزمایشی است، استفاده می کند، در حالی که حملات SCARLETEEL را به عامل تهدید مرتبط می کند و به اشتراکات زیرساختی اشاره می کند.
آکوا خاطرنشان کرد: "TeamTNT در حال اسکن اعتبار در چندین محیط ابری، از جمله AWS، Azure و GCP است."
این حملات که نمونههای Docker در معرض عموم را برای استقرار یک ماژول انتشار کرممانند مشخص میکنند، ادامه مجموعهای از نفوذ هستند که قبلاً نوتبوکهای Jupyter را در دسامبر ۲۰۲۲ هدف قرار داده بودند.
حدود هشت نسخه افزایشی از اسکریپت جمع آوری اعتبار بین 15 ژوئن 2023 تا 11 ژوئیه 2023 کشف شده است که نشان دهنده یک کمپین فعالانه در حال تحول است.
نسخه های جدیدتر بدافزار برای جمع آوری اعتبار از AWS، Azure، Google Cloud Platform، Censys، Docker، Filezilla، Git، Grafana، Kubernetes، Linux، Ngrok، PostgreSQL، Redis، S3QL، و SMB طراحی شده اند. اعتبار جمع آوری شده سپس به یک سرور راه دور تحت کنترل عامل تهدید منتقل می شود.
SentinelOne گفت که منطق جمعآوری اعتبارنامه و فایلهای مورد هدف شباهتهایی با کمپین هدفگیری Kubelet دارد که توسط TeamTNT در سپتامبر ۲۰۲۲ انجام شد.
در کنار بدافزار پوسته اسکریپت، عامل تهدید نیز مشاهده شده است که یک باینری ELF مبتنی بر Golang را توزیع میکند که به عنوان اسکنر برای انتشار بدافزار به اهداف آسیبپذیر عمل میکند. باینری یک ابزار اسکن شبکه Golang به نام Zgrab را حذف می کند.
الکس دیلاموت، ایان اهل و دانیل بوهانون، محققین امنیتی، میگویند: «این کمپین تکامل یک بازیگر کارکشته ابر را با آشنایی با بسیاری از فناوریها نشان میدهد. توجه دقیق به جزئیات نشان میدهد که بازیگر به وضوح آزمون و خطاهای زیادی را تجربه کرده است.»
"این بازیگر به طور فعال در حال تنظیم و بهبود ابزارهای خود است. بر اساس ترفندهایی که در چند هفته گذشته مشاهده شده است، بازیگر احتمالاً برای کمپین های مقیاس بزرگتر آماده می شود."
این یافتهها از SentinelOne و Permiso به دست آمده است که میگویند «کمپینها شباهتهایی با ابزارهای منتسب به خدمه مخفیجکر بدنام TeamTNT دارند»، اگرچه تأکید کردند که «اسناد با ابزارهای مبتنی بر اسکریپت همچنان چالشبرانگیز است».
آنها همچنین با کمپین در حال انجام TeamTNT افشا شده توسط Aqua به نام Silentbob همپوشانی دارند که از سرویس های ابری پیکربندی نادرست برای حذف بدافزارها به عنوان بخشی از آنچه گفته می شود یک تلاش آزمایشی است، استفاده می کند، در حالی که حملات SCARLETEEL را به عامل تهدید مرتبط می کند و به اشتراکات زیرساختی اشاره می کند.
آکوا خاطرنشان کرد: "TeamTNT در حال اسکن اعتبار در چندین محیط ابری، از جمله AWS، Azure و GCP است."
این حملات که نمونههای Docker در معرض عموم را برای استقرار یک ماژول انتشار کرممانند مشخص میکنند، ادامه مجموعهای از نفوذ هستند که قبلاً نوتبوکهای Jupyter را در دسامبر ۲۰۲۲ هدف قرار داده بودند.
حدود هشت نسخه افزایشی از اسکریپت جمع آوری اعتبار بین 15 ژوئن 2023 تا 11 ژوئیه 2023 کشف شده است که نشان دهنده یک کمپین فعالانه در حال تحول است.
نسخه های جدیدتر بدافزار برای جمع آوری اعتبار از AWS، Azure، Google Cloud Platform، Censys، Docker، Filezilla، Git، Grafana، Kubernetes، Linux، Ngrok، PostgreSQL، Redis، S3QL، و SMB طراحی شده اند. اعتبار جمع آوری شده سپس به یک سرور راه دور تحت کنترل عامل تهدید منتقل می شود.
SentinelOne گفت که منطق جمعآوری اعتبارنامه و فایلهای مورد هدف شباهتهایی با کمپین هدفگیری Kubelet دارد که توسط TeamTNT در سپتامبر ۲۰۲۲ انجام شد.
در کنار بدافزار پوسته اسکریپت، عامل تهدید نیز مشاهده شده است که یک باینری ELF مبتنی بر Golang را توزیع میکند که به عنوان اسکنر برای انتشار بدافزار به اهداف آسیبپذیر عمل میکند. باینری یک ابزار اسکن شبکه Golang به نام Zgrab را حذف می کند.
الکس دیلاموت، ایان اهل و دانیل بوهانون، محققین امنیتی، میگویند: «این کمپین تکامل یک بازیگر کارکشته ابر را با آشنایی با بسیاری از فناوریها نشان میدهد. توجه دقیق به جزئیات نشان میدهد که بازیگر به وضوح آزمون و خطاهای زیادی را تجربه کرده است.»
"این بازیگر به طور فعال در حال تنظیم و بهبود ابزارهای خود است. بر اساس ترفندهایی که در چند هفته گذشته مشاهده شده است، بازیگر احتمالاً برای کمپین های مقیاس بزرگتر آماده می شود."