Nemesis 和 ShinyHunters 攻击者扫描了数百万个 IP 地址,以找到可利用的基于云的漏洞,但讽刺的是,他们的行动是由于自己的云错误配置而被发现的。
网络犯罪团伙利用公共网站中的漏洞,从数千个组织中窃取 Amazon Web Services (AWS) 云凭证和其他数据,在一次大规模网络行动中,涉及扫描数百万个站点以查找易受攻击的端点。
组织松散的研究小组 CyberCyber Labs 的独立网络安全研究人员 Noam Rotem 和 Ran Locar 在 8 月发现了该操作,并将其报告给了 vpnMentor,后者于 12 月 9 日发表了一篇关于他们的发现的博客文章。攻击者似乎与已知的威胁组织 Nemesis 和 ShinyHunters 有关,后者可能以今年早些时候窃取了五十万 Ticketmaster 客户的数据的云泄露而闻名。
云身份和安全管理公司 Saviynt 的首席信任官 Jim Routh 指出:“这两个'团伙'都代表了一个技术复杂的网络犯罪集团,他们以盈利为目的大规模运作,并利用他们的技术技能来识别企业迁移到云计算的控制弱点,而这些企业在没有完全了解服务的复杂性或云计算中提供的控制措施的情况下。
然而,具有讽刺意味的是,研究人员在讲法语的攻击者犯下了他们自己的基于云的失礼时发现了该操作——他们将从受害者那里收集的一些数据存储在 AWS Simple Storage Service (S3) 存储桶中,该存储桶包含 2TB 数据,并且由于所有者的配置错误而保持打开状态。
“根据攻击组成员使用的工具的源代码,S3 存储桶被用作攻击组成员之间的'共享驱动器',”vpnMentor 研究团队在帖子中写道。
在操作中被盗的数据包括基础设施凭证、专有源代码、应用程序数据库,甚至其他外部服务的凭证。研究人员表示,该存储桶还包括用于运行操作的代码和软件工具,以及从受害者网络中提取的数千个密钥和机密。
两部分攻击序列
研究人员最终重建了一个发现和利用的两步攻击序列。据 vpnMentor 团队称,攻击者从一系列脚本开始扫描属于 AWS 的大量 IP,寻找“已知的应用程序漏洞以及明显的错误”。
攻击者使用 IT 搜索引擎 Shodan 对 IP 地址执行反向查找,使用他们武器库中的实用程序获取与 AWS 范围内存在的每个 IP 地址关联的域名,以扩大其攻击面。为了进一步扩展域列表,他们还分析了每个 IP 提供的 SSL 证书,以提取与其关联的域名。
确定目标后,他们开始了扫描过程,首先查找暴露的通用终端节点,然后对系统进行分类,例如 Laravel、WordPress 等。完成此操作后,他们将执行进一步的测试,尝试从特定于产品的终端节点中提取数据库访问信息、AWS 客户密钥和密钥、密码、数据库凭证、Google 和 Facebook 账户凭证、加密公钥和私钥(用于 CoinPayment、Binance 和 BitcoinD)等。
“每组凭据都经过测试和验证,以确定它是否处于活动状态,”该帖子称,“它们也被写入输出文件,以便在操作的后期阶段被利用。
在发现并验证暴露的 AWS 客户凭证后,攻击者还试图检查关键 AWS 服务的权限,包括:身份和访问管理 (IAM)、简单电子邮件服务 (SES)、简单通知服务 (SNS) 和 S3。
网络攻击者归因 & AWS 响应
研究人员通过行动中使用的工具追踪了肇事者,这些工具与 ShinyHunters 使用的工具“似乎相同”。这些工具以法语记录,并由“Sezyo Kaizen”签名,该别名与 ShinyHunters 成员 Sebastien Raoult 有关,他于今年早些时候被捕并承认了刑事指控。
研究人员还恢复了一个名为“Nemesis Blackmarket”的暗网市场运营商使用的签名,该市场专注于出售被盗的访问凭据和用于垃圾邮件的帐户。
这些在以色列工作的研究人员于 9 月初向以色列网络理事会报告了他们的发现,然后在 9 月 26 日发送的报告中通知了 AWS 安全部门。据 vpnMentor 称,该公司立即采取措施减轻影响并提醒受影响的客户注意风险。
最终,AWS 团队发现,该操作针对责任共担云模型的客户应用程序端存在的缺陷,并没有反映 AWS 的任何错误,研究人员表示他们“完全同意”这一点。AWS 安全团队证实,他们于 11 月 9 日完成了调查和缓解措施,并为研究人员披露该事件开了绿灯。
如何保护云 IT 足迹
组织可以采取一些措施来避免针对各自云环境的类似攻击,包括确保硬编码凭证永远不会出现在其代码中,甚至永远不会出现在其文件系统中,否则它们可能会被未经授权的方访问。
组织还应使用开源工具(如 “dirsearch” 或 “nikto”) 进行简单的 Web 扫描,这些工具通常由懒惰的攻击者用来识别常见漏洞。研究人员指出,这将使他们能够在恶意行为者之前发现环境中的漏洞。
他们表示,Web 应用程序防火墙 (WAF) 也是阻止恶意活动的成本相对较低的解决方案,定期“滚动”密钥、密码和其他机密也是值得的。研究人员指出,组织还可以在其代码中的秘密位置创建 CanaryToken,这些令牌充当绊线,提醒管理员攻击者可能正在他们不应该出现的地方四处探查。
Routh 表示,该事件还为组织提供了一个学习机会,当面临新的技术选择时,组织应该调整和设计网络控制以实现弹性,而不是使用传统的控制方法。
信息来源:https://www.darkreading.com/endpoint-security/cybercrime-gangs-steal-thousands-aws-credentials
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局