Gli hacker di ScarletEel stanno infiltrando Amazon Web Services (AWS) per rubare credenziali e proprietà intellettuale, piantare software di crypto mining, eseguire attacchi DDoS e altro ancora. Questo gruppo di minacce finanziariamente motivato sta dimostrando una notevole competenza con gli strumenti AWS, infiltrandosi in un ambiente cloud e utilizzando la funzionalità nativa di AWS per muoversi lateralmente con facilità.
Tattiche raffinate
ScarletEel continua a perfezionare le sue tattiche, eludendo i meccanismi di rilevamento della sicurezza del cloud e raggiungendo il motore di calcolo AWS Fargate, poco esplorato. Ha inoltre ampliato il suo arsenale aggiungendo DDoS-as-a-service alla sua lista di tecniche di sfruttamento. “Rispetto alla loro attività precedente, vediamo che sono più consapevoli dell’ambiente della vittima e hanno potenziato le loro capacità in termini di dove andare, come sfruttarlo e come eludere le misure di sicurezza difensive che i clienti hanno già iniziato a implementare”, afferma Alessandro Brucato, ingegnere di ricerca sulle minacce per Sysdig.
Utilizzo di strumenti di pentesting
ScarletEel ha iniziato la sua ultima intrusione sfruttando i contenitori del notebook Jupyter in un cluster Kubernetes. Gli attaccanti hanno quindi eseguito script per cercare le credenziali AWS che potevano inviare al loro server di comando e controllo. In parallelo, ha utilizzato Peirates, uno strumento equivalente per esplorare e sfruttare l’ambiente Kubernetes della vittima.
Mascheramento dell’attività
Per mascherare la loro attività, gli hacker hanno ideato un astuto meccanismo di difesa. “Invece di interagire direttamente con AWS, stavano effettivamente utilizzando un server russo che supporta il protocollo AWS”, spiega Michael Clark, direttore della ricerca sulle minacce per Sysdig. L’uso di comandi nativi AWS ha mascherato la malizia dell’attività. Nel frattempo, non è stato registrato nei log AWS CloudTrail della vittima, perché tutto è avvenuto sul sito russo.