تهدف حملة SCARLETEEL المعقدة للاختراق في بيئات محمية تحتوي على حاويات لسرقة البيانات والبرامج الحصرية.
صرحت شركة سيسديج في تقرير جديد بأن المهاجمين يستخدمون عبء العمل في حاويات البرامج ويستغلونه لتصعيد صلاحياتهم إلى حسابات AWS لسرقة البيانات والتطبيقات الحصرية.
كان الهجوم السحابي المتقدم يتطلب أيضًا نشر برنامج التعدين المشفر، والذي وصفته شركة الأمن السيبراني بأنه إما محاولة جني أرباح غير مشروعة، أو حيلة لإيقاف المدافعين وتغيير مسارهم.
تعتمد ناقل العدوى الأولي على استغلال خدمة عامة ضعيفة في مجموعة Kubernetes المُدارة ذاتيًا والمُستضافة على خدمة ويب أمازون (AWS). (Translation: The initial transmission carrier relies on exploiting a weak public service in a self-managed Kubernetes cluster hosted on Amazon Web Services (AWS).)
عندما تحصل على نقطة انطلاق ناجحة، تم إطلاق XMRig crypto miner واستخدم برنامج bash النصي للحصول على بيانات اعتماد يمكن استخدامها لمزيد من الاختراق في البنية التحتية السحابية لـ AWS وتسلل البيانات الحساسة.
قالت الشركة: ربما كان التعدين على العملات المشفرة هو الهدف الأساسي للهجوم وتم تغيير الهدف عند وصولهم إلى بيئة الضحية، أو ربما تم استخدام التعدين على العملات الرقمية كوسيلة لإخفاء سرقة البيانات.
تسبب التجسس في تعطيل سجلات CloudTrail للحد من الأثر الرقمي، ومنع Sysdig من الوصول إلى أدلة إضافية. بشكل عام، قام المهاجم بالوصول إلى أكثر من 1 تيرابايت من البيانات، بما في ذلك البرامج النصية للعملاء، وأدوات استكشاف الأخطاء وإصلاحها، وملفات التسجيل.
قالت الشركة: حاولوا أيضًا استخدام ملف حالة Terraform مع حسابات AWS الأخرى المتصلة لنشر إمكانية الوصول في جميع أنحاء المنظمة. ومع ذلك، ثبت أن هذا لم ينجح بسبب نقص الأذونات.
تتم النتائج بعد عدة أسابيع من إجراء Sysdig تحليلًا شاملاً لعملية التشفير التي قامت بها 8220 Gang بين نوفمبر 2022 ويناير 2023 والتي استهدفت Apache وتطبيقات Oracle Weblogic.