Операция SCARLETEEL, впервые обнаруженная командой Sysdig Threat Research Team в феврале этого года, продолжает развиваться, демонстрируя все более изощренные методы атак на облачные инфраструктуры. Изначально злоумышленники фокусировались на криптомайнинге, но теперь их цели расширились до кражи интеллектуальной собственности и полного контроля над учетными записями AWS. Новые тактики позволяют им обходить современные системы защиты, делая атаки более устойчивыми и скрытными.
Описание
Одним из ключевых изменений в стратегии SCARLETEEL стало нацеливание на AWS Fargate - сервис, который ранее считался более защищенным. Используя уязвимости в политиках безопасности клиентов, злоумышленники смогли эскалировать привилегии до уровня AdministratorAccess, получая полный контроль над облачными средами. Это открыло им возможность не только развертывать криптомайнеры, но и свободно перемещаться по инфраструктуре, красть данные и масштабировать атаки через Kubernetes.
По оценкам экспертов, если бы атака не была пресечена, ежедневные убытки от криптомайнинга могли превышать 4 тысячи долларов. Однако финансовый ущерб - лишь часть проблемы. Группировка активно использует украденные учетные данные для дальнейшего проникновения в системы, эксплуатируя такие инструменты, как AWS CLI и pacu, для автоматизации атак. Кроме того, они применяют peirates для работы с Kubernetes, что позволяет им быстро распространять вредоносные нагрузки.
Еще одной тревожной тенденцией стало использование SCARLETEEL публичных сервисов для организации командных серверов (C2). Это усложняет их обнаружение, так как злоумышленники постоянно меняют домены и инфраструктуру. Также они пытаются обойти защиту IMDSv2 (Instance Metadata Service), чтобы получать токены доступа к AWS, что делает их атаки еще более опасными.
Эксперты по кибербезопасности настоятельно рекомендуют компаниям, использующим облачные сервисы, пересмотреть свои политики безопасности. Особое внимание следует уделить ограничению привилегий, мониторингу подозрительной активности и своевременному обновлению систем. Угроза SCARLETEEL остается актуальной, и без должных мер защиты организации рискуют стать следующей жертвой этой высокоадаптивной кибергруппировки.
Индикаторы компрометации
IPv4
- 169.254.170.2
- 175.102.182.6
- 45.9.148.221
- 75.102.182.6
IPv4 Port Combinations
- 5.39.93.71:9999
Domains
- hb.bizmrg.com
- mcs.mail.ru
- termbin.com
URLs
- http://45.9.148.221/in/in.php
MD5
- 2674871fe7f4ccbd1d1b1e8d5f50e572
- 3bcef172739dea6c5fe93375d5e14b8a
- b9113ccc0856e5d44bab8d3374362a06
- c451822e6030fb55095692ef395ff50b
- d288e554d334ae1693b6c7a1087ce504
SHA1
- 5062073c635ffab049d8f3a6a0d0b00f2dec1414
- 5611cb5676556410981eefab70d0e2aced01dbc5
- 5919531f7649adc01afea8e78704da7c67eaf2cc
- 6869d4d03324f2d68aa35e8b8a8837884fe7f935
- b2231de3f2de5ec00aba450762919459abf6250d
SHA256
- 00a6b7157c98125c6efd7681023449060a66cdb7792b3793512cd368856ac705
- 2c2a4a8832a039726f23de8a9f6019a0d0f9f2e4dfe67f0d20a696e0aebc9a8f
- 3769e828f39126eb8f18139740622ab12672feefaae4a355c3179136a09548a0
- 57ddc709bcfe3ade1dd390571622e98ca0f49306344d2a3f7ac89b77d70b7320
- 99e70e041dad90226186f39f9bc347115750c276a35bfd659beb23c047d1df6e
