Hackers Exploram Ambientes Containerizados Para Roubar Dados E Softwares Privados
2 de Março de 2023

Uma sofisticada campanha de ataque chamada SCARLETEEL está visando ambientes containerizados para perpetrar roubo de dados proprietários e software. "O atacante explorou uma carga de trabalho containerizada e, em seguida, alavancou-a para realizar uma escalada de privilégios em uma conta da AWS para roubar software proprietário e credenciais", disse a Sysdig em um novo relatório. O ataque avançado na nuvem também envolveu a implantação de software minerador de criptomoedas, que a empresa de segurança cibernética disse ser uma tentativa de gerar lucros ilícitos ou um estratagema para distrair defensores e tirá-los do rastro. O vetor de infecção inicial se baseou na exploração de um serviço voltado para o público em um cluster Kubernetes auto-gerenciado hospedado na Amazon Web Services (AWS). Após obter uma posição de sucesso, um minerador de criptomoedas XMRig foi lançado e um script bash foi usado para obter credenciais que poderiam ser usadas para aprofundar ainda mais na infraestrutura de nuvem AWS e exfiltrar dados sensíveis. "Ou a mineração de criptomoedas era o objetivo inicial do atacante e o objetivo mudou assim que eles acessaram o ambiente da vítima, ou a mineração de criptomoedas foi usada como um engodo para evitar a detecção da exfiltração de dados", disse a empresa. A intrusão também desativou os logs do CloudTrail para minimizar a pegada digital, impedindo a Sysdig de acessar evidências adicionais. No total, permitiu que o ator da ameaça acessasse mais de 1 TB de dados, incluindo scripts de clientes, ferramentas de solução de problemas e arquivos de log. "Eles também tentaram se deslocar usando um arquivo de estado Terraform para outras contas AWS conectadas para espalhar sua abrangência por toda a organização", disse a empresa. No entanto, isso provou ser malsucedido devido à falta de permissões. As descobertas vêm semanas depois que a Sysdig também detalhou outra campanha de cripto-jacking montada pela gangue 8220 entre novembro de 2022 e janeiro de 2023, visando aplicativos Apache e Oracle Weblogic exploráveis.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...