Scarleteel 威胁组的新威胁能力
重点内容
- Scarleteel 目前具备新型高级能力,能够针对 AWS Fargate 进行攻击。
- 该组持续发动针对云环境的攻击,包括 AWS 和 Kubernetes。
- Scarleteel 通过加密货币挖矿和盗窃知识产权获得经济收益。
- 攻击者使用被盗 AWS 凭证和渗透测试工具展开攻击。
- AWS Fargate 的无服务器计算模型带来了新的安全挑战。
Scarleteel,一个于 2 月首次被报道的威胁组,现已具备许多新的高级能力,能够针对容器自动化工具 AWS Fargate,同时开展 DDoS-as-
a-Service 运动。
在 7 月 11 日的一则中,Sysdig威胁研究团队指出,Scarleteel 仍然持续攻击云中的目标,包括 AWS及
环境。该组织旨在利用开放的计算服务和脆弱的应用程序,并持续关注通过加密货币挖矿和盗取知识产权来获得经济利益。
研究人员还发现 Scarleteel 曾使用 AWS 客户端连接与亚马逊 S3 协议兼容的俄罗斯系统。
除了窃取 AWS 凭证,研究人员还表示,Scarleteel 实施了其他攻击,包括针对 Kubernetes 环境的攻击。例如,他们利用
Kubernetes 渗透测试工具 进一步利用
Kubernetes 环境。
该威胁参与者还下载并执行了与 Mirai 僵尸网络相关的恶意软件 Pandora,该恶意软件主要针对连接到互联网的物联网设备,自 2016年以来对许多大规模 DDoS 攻击负责。研究人员将 Pandora 攻击与 DDoS-as-a-Service 运动联系在一起,攻击者为此提供 DDoS能力以牟利。
根据 Netenrich 的首席威胁猎手 John Bambenek 的解释,AWS 目前将 Fargate提供为一种基于云的无服务器计算产品,允许组织在不启动完整虚拟机的情况下执行任务。Bambenek指出,不幸的是,无服务器应用程序从定义上就没有终端防御,这使得如何妥善保障其安全开启了一个全新的领域。
“一个简单但代价高昂的攻击方式是破坏云账户的凭证,启动资源进行加密货币挖矿,”Bambenek 表示。“由于攻击者无需支付账单,这种攻击是 100%
有利可图的。”
Vulcan Cyber 的高级技术工程师 Mike Parkin 表示,虽然安全专家应该对 Fargate的安全性有更高的期望,但威胁参与者的工具和技术正在不断改进。
“这意味着他们通常能够找到绕过新安全措施的方法,”Parkin 表示。他补充道:“在这种情况下,攻击者利用现有的 AWS功能进行‘就地生存’,并滥用本来合法的渗透测试工具来进一步实现他们的目标。值得注意的是,攻击者显然使用了一个支持 AWS协议的俄罗斯服务器来掩盖他们的活动。另一个重点是他们使用被盗账户,这进一步强调了需要更强身份验证的必要性。”
威胁组 | 攻击手段 | 目标
—|—|—
Scarleteel | 窃取 AWS 凭证、利用 Kubernetes 渗透测试工具 | 云环境、物联网设备
相关链接:
