Le cryptomineur Scarleteel peaufine son vol d’identifiants AWS

0


Aprs la dcouverte de Scarleteel en fvrier dernier qui ciblait les environnements Kubernetes et AWS, le faux cryptomineur volue dans ses techniques d’infection et d’exfiltration d’identifiants cloud.

Un malware du nom de Scarleteel poursuit son petit bonhomme de chemin et Ă©volue dans sa tactique d’attaque. DĂ©couvert en mars dernier, le faux cryptomineur s’en prenait aux environnements cloud et Kubernetes. Aujourd’hui, il est entrĂ© dans une deuxiĂšme phase avec des tactiques d’infection et d’exfiltration plus Ă©voluĂ©es. C’est ce qu’indique Sysdig dans un rapport. « L’automatisation, combinĂ©e Ă  un examen manuel des donnĂ©es collectĂ©es, fait de cet attaquant une menace plus dangereuse », peut-on lire.

Les experts ajoutent, « Il ne s’agit pas d’un simple logiciel malveillant, comme on le pense souvent d’un mineur de crypto-monnaie, puisqu’ils examinent autant que possible l’environnement cible ». Les activitĂ©s rĂ©centes de Scarleteel ont ciblĂ© des environnements comme AWS Fargate et Kubernetes, indiquant une Ă©volution claire du simple minage de crypto-monnaie vers d’autres exploits comme le vol de propriĂ©tĂ©s intellectuelles.

Une erreur mineure expose AWS Fargate et Kubernetes

Lors d’une rĂ©cente attaque, Scarleteel a exploitĂ© une erreur mineure dans la politique d’AWS pour escalader les privilĂšges jusqu’Ă  obtenir un accĂšs administrateur et prendre le contrĂŽle du compte Fargate. Ce piratage a Ă©galement permis de cibler Kubernetes. « Une erreur du client – une faute de frappe d’un seul caractĂšre – a offert aux attaquants de contourner l’une de leurs politiques », a expliquĂ© Alessandro Brucato, ingĂ©nieur de recherche sur les menaces chez Sysdig. « Plus prĂ©cisĂ©ment, cette politique empĂȘchait les attaquants de prendre le contrĂŽle de tous les utilisateurs dont le nom contenait « admin ». Sauf que le champ utilisĂ© dans la politique est sensible Ă  la casse ». L’ingĂ©nieur a ajoutĂ© que l’un des noms d’utilisateur du compte client commençait par « admin », ce qui a permis aux pirates d’en prendre le contrĂŽle.

L’attaquant a pu ensuite exploiter certains conteneurs Jupyter Notebook dĂ©ployĂ©s dans un cluster Kubernetes et procĂ©der dans la foulĂ©e Ă  plusieurs types d’attaques, principalement pour voler des informations d’identification AWS pour exploiter plus en profondeur l’environnement cloud de la victime. « L’objectif de Scarleteel est d’obtenir la persistance dans une charge de travail Kubernetes vulnĂ©rable afin d’Ă©lever les privilĂšges du cloud, faire du minage insidieux de crypto-monnaie financiĂšrement prĂ©judiciable et voler de la propriĂ©tĂ© intellectuelle », a dĂ©clarĂ© Jimmy Mesta, directeur de la technologie au Centre d’opĂ©rations de sĂ©curitĂ© Kubernetes. « Une application web vulnĂ©rable ou, dans le cas de Scarleteel, un Jupyter Notebook, peut conduire Ă  la compromission complĂšte d’un compte AWS », a ajoutĂ© le dirigeant.

Scripts contextualisés et exfiltration évasive

Les scripts utilisĂ©s dans les attaques de vol d’informations semblaient savoir qu’ils se trouvaient dans un conteneur hĂ©bergĂ© par Fargate et exĂ©cutaient les commandes appropriĂ©es pour collecter des identifiants. « Leurs scripts interrogent diffĂ©rents services pour recueillir des informations sur l’environnement », a encore expliquĂ© Allesandro Brucato. « Ensuite, ils font progresser leur attaque en utilisant des outils qui ciblent des services spĂ©cifiques (par exemple, peirates dans les pods Kubernetes ou pacu aprĂšs avoir volĂ© des informations d’identification AWS) », a-t-il ajoutĂ©. Pacu et Peirates sont des outils d’attaque open source populaires gĂ©nĂ©ralement utilisĂ©s par les pentesteurs et les Red Teams pour Ă©valuer la sĂ©curitĂ© du cloud et de l’infrastructure Kubernetes. « Pacu a Ă©tĂ© utilisĂ© dans l’attaque Scarleteel comme outil d’Ă©numĂ©ration post-exploitation pour Ă©valuer rapidement plus de 20 chemins d’escalade de privilĂšges existants dans le compte AWS de la victime », a dĂ©clarĂ© M. Mesta. « Quant Ă  Peirates, il offre aux attaquants une interface de ligne de commande tout-en-un pour rĂ©aliser des exploits sur Kubernetes, notamment effectuer un mouvement latĂ©ral, voler les identifiants IAM (Identity and Access Management) du cloud ou obtenir la persistance par le biais d’un shell inversé ».

Scarleteel s’est Ă©galement servie d’une technique d’exfiltration pour Ă©chapper Ă  la dĂ©tection. Au lieu d’utiliser des outils de ligne de commande courants comme ‘curl’ ou ‘wget’, les attaquants ont choisi une mĂ©thode plus furtive en utilisant des Ă©lĂ©ments intĂ©grĂ©s au shell. « C’est souvent au moment de l’exfiltration que les attaquants sont dĂ©tectĂ©s par les SIEM ou d’autres systĂšmes de surveillance, car la plupart des attaques utilisent des outils courants comme wget ou curl, tous deux considĂ©rĂ©s comme une anomalie », a dĂ©clarĂ© Jimmy Mesta. « Scarleteel utilise un shell intĂ©grĂ© pour effectuer des appels externes au rĂ©seau vers des adresses IP contrĂŽlĂ©es par l’attaquant, de sorte que l’attaque semble « normale » pour la plupart des outils de surveillance de la sĂ©curitĂ© non sophistiquĂ©s basĂ©s sur des signatures prĂ©dĂ©finies. L’attaquant a Ă©galement utilisĂ© le CLI AWS piratĂ© pour tĂ©lĂ©charger et exĂ©cuter Pandora, un malware appartenant au botnet Mirai qui cible essentiellement les appareils IoT connectĂ©s Ă  Internet pour planifier des attaques DDoS Ă  grande Ă©chelle.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *