Una sofisticada campaña de ataque denominada SCARLETEEL se dirige a entornos en contenedores para perpetrar el robo de datos y software patentados.
“El atacante explotó una carga de trabajo en contenedores y luego la aprovechó para realizar una escalada de privilegios en una cuenta de AWS con el fin de robar software y credenciales propietarios”, dijo Sysdig en un nuevo informe.
El ataque avanzado en la nube también implicó el despliegue de software minero de criptomonedas, que la empresa de ciberseguridad dijo que es o bien un intento de generar ganancias ilícitas o una estratagema para distraer a los defensores y desviarlos del rastro.
El vector de infección inicial se basó en explotar un servicio público vulnerable en un clúster de Kubernetes autoadministrado alojado en Amazon Web Services (AWS).
Al obtener un punto de apoyo exitoso, se lanzó un criptominero XMRig y se utilizó un script bash para obtener credenciales que podrían usarse para profundizar en la infraestructura de la nube de AWS y filtrar datos confidenciales.
“O la criptominería era el objetivo inicial del atacante y el objetivo cambiaba una vez que accedían al entorno de la víctima, o la criptominería se usaba como señuelo para evadir la detección de la exfiltración de datos”, dijo la compañía.
En particular, la intrusión también deshabilitó los registros de CloudTrail para minimizar la huella digital, evitando que Sysdig accediera a pruebas adicionales. En total, permitió al actor de amenazas acceder a más de 1 TB de datos, incluidos scripts de clientes, herramientas de solución de problemas y archivos de registro.
“También intentaron pivotar utilizando un archivo de estado de Terraform a otras cuentas de AWS conectadas para extender su alcance en toda la organización”, dijo la compañía. Esto, sin embargo, resultó ser infructuoso debido a la falta de permisos.
Los hallazgos llegan semanas después de que Sysdig también detallara otra campaña de cryptojacking lanzada por la banda 8220 entre noviembre de 2022 y enero de 2023 dirigida a aplicaciones explotables de servidor web Apache y Oracle Weblogic.
