Переход организаций на облачные платформы, такие как Microsoft Azure и Amazon Web Services (AWS), открыл новые возможности для бизнеса, но одновременно увеличил риски кибератак. Расширение поверхности атаки, ошибки конфигурации и компрометация учетных записей - все это делает облачные инфраструктуры привлекательными для злоумышленников.
Описание
Компания Darktrace, специализирующаяся на искусственном интеллекте для кибербезопасности, недавно выявила и предотвратила три серьезных инцидента в облачных средах клиентов. Эти случаи демонстрируют, как современные угрозы эволюционируют и почему традиционные методы защиты уже не справляются.
Атака на Azure: кража токенов и создание вредоносных виртуальных машин
В начале 2024 года Darktrace обнаружила аномальную активность в Azure-среде заказчика из региона EMEA (Европа, Ближний Восток и Африка). Злоумышленник скомпрометировал токены доступа внешнего консультанта, который ранее скачал взломанное ПО. Используя украденные токены, атакующий вошел в облачную среду, изменил правило безопасности, разрешив входящие SSH-подключения с определенного IP-диапазона, а затем создал виртуальную машину.
Атака на AWS: кража данных и попытка внедрения ransomware
В феврале 2025 года Darktrace зафиксировала компрометацию AWS-среды британского клиента, использующего сервис Managed Detection and Response (MDR). Злоумышленник, вероятно, использовал скомпрометированные учетные данные для входа в VPN, после чего начал внутреннюю разведку и загрузил утилиту Rclone для синхронизации файлов с облачными хранилищами.
Атакующий скачал финансовые документы с AWS-сервера и попытался передать их на внешний VPS через SSH-соединения. Darktrace заблокировала эти подключения, предотвратив утечку. Однако злоумышленник продолжил сканировать сеть с помощью Nmap и попытался переместиться через RDP на другие устройства, включая сервер, связанный с печатью. Этот сервер затем установил SSH-соединение с IP-адресом, связанным с группировкой Akira ransomware.
Darktrace снова вмешалась, заблокировав подозрительные подключения, а SOC-аналитики продлили блокировку на 24 часа, чтобы дать клиенту время на полное устранение угрозы.
Еще одна атака на AWS: массовая эксфильтрация данных
Параллельно с предыдущим инцидентом Darktrace выявила аналогичную атаку на AWS-среду другого клиента. Вредоносный актор проник в виртуальную частную сеть через уязвимый экземпляр SonicWall SMA 500v, который принимал входящие HTTPS-подключения с подозрительных VPS-адресов.
Скомпрометированный сервер начал сканировать сеть и перемещаться через RDP на другие узлы, включая контроллер домена. Затем он передал более 230 ГБ данных на внешний VPS через порт 5000, обычно используемый для UPnP.
Выводы: почему традиционные меры защиты недостаточны
Эти случаи демонстрируют, что киберпреступники активно используют облачные среды для кражи данных и внедрения вредоносного ПО. Угрозы становятся сложнее, а ручные методы обнаружения часто запаздывают.
Индикаторы компрометации
IPv4
- 193.242.184.178
- 207.246.74.166
- 23.150.248.189
- 45.32.205.52
- 45.32.90.176
- 67.217.57.252
