Une opération de piratage avancée baptisée « SCARLETEEL » cible les applications Web destinées au public et exécutées dans des conteneurs pour infiltrer les services cloud et voler des données sensibles.

SCARLETEEL a été découverte par la société de renseignement en cybersécurité Sysdig alors qu’elle répondait à un incident dans l’environnement cloud de l’un de ses clients.

Alors que les attaquants déployaient des cryptomineurs dans les environnements cloud compromis, les pirates ont montré une expertise avancée dans la mécanique du cloud AWS, qu’ils ont utilisée pour s’enfoncer davantage dans l’infrastructure cloud de l’entreprise.

Sysdig pense que l’attaque de cryptojacking a été utilisée comme un leurre pour le véritable objectif des acteurs de la menace, qui était le vol de logiciels propriétaires.

SCARLETEEL attacks

L’attaque SCARLETEEL a commencé avec les pirates exploitant un service public vulnérable dans un cluster Kubernetes autogéré hébergé sur Amazon Web Services (AWS).

Une fois que les attaquants ont accédé au conteneur, ils téléchargent un coinminer XMRig, censé servir de leurre, et un script pour extraire les identifiants de compte du pod Kubernetes.

Les informations d’identification volées ont ensuite été utilisées pour effectuer des appels d’API AWS afin de gagner en persistance en volant d’autres informations d’identification ou en créant des utilisateurs et des groupes de porte dérobée dans l’environnement cloud de l’entreprise. Ces comptes ont ensuite été utilisés pour se propager davantage dans l’environnement cloud.

Selon la configuration du rôle du cluster AWS, les attaquants peuvent également accéder aux informations Lambda, telles que les fonctions, les configurations et les clés d’accès.

Commandes exécutées par l’attaquant

Ensuite, l’attaquant utilise les fonctions Lambda pour énumérer et récupérer tous les codes et logiciels propriétaires ainsi que ses clés d’exécution et les variables d’environnement de la fonction Lambda pour trouver les informations d’identification de l’utilisateur IAM et les exploiter pour les cycles d’énumération ultérieurs et l’élévation des privilèges.

L’énumération des compartiments S3 se produit également à ce stade, et les fichiers stockés dans les compartiments cloud sont susceptibles de contenir des données précieuses pour les attaquants, telles que les informations d’identification du compte.

« Au cours de cette attaque particulière, l’attaquant a pu récupérer et lire plus de 1 To d’informations, y compris des scripts client, des outils de dépannage et des fichiers de journalisation », lit-on dans le rapport de Sysdig.

« Le 1 To de données comprenait également des fichiers de journalisation liés à Terraform, qui ont été utilisés dans le compte pour déployer une partie de l’infrastructure. Ces fichiers Terraform joueront un rôle important dans l’étape ultérieure où l’attaquant a tenté de pivoter vers un autre compte AWS. « 

Chaîne d’attaque SCARLETEEL

Pour minimiser les traces laissées, l’attaquant a tenté de désactiver les journaux CloudTrail dans le compte AWS compromis, ce qui a eu un impact négatif sur l’enquête de Sysdig.

Cependant, il était évident que l’attaquant avait récupéré les fichiers d’état Terraform des compartiments S3 contenant les clés d’accès utilisateur IAM et une clé secrète pour un deuxième compte AWS. Ce compte a finalement été utilisé pour les déplacements latéraux au sein du réseau cloud de l’organisation.

Les secrets de Terraform découverts par TruffleHog

Sécuriser votre infrastructure basée sur le cloud
Alors que l’entreprise s’appuie de plus en plus sur les services cloud pour héberger son infrastructure et ses données, les pirates informatiques suivent le mouvement, devenant des experts des API et des consoles de gestion pour poursuivre leurs attaques.

L’attaque SCARLETEEL prouve qu’un seul point vulnérable dans l’environnement cloud d’une organisation pourrait suffire aux acteurs malveillants persistants et avertis pour l’exploiter pour l’infiltration du réseau et le vol de données sensibles.

Sysdig suggère aux organisations de prendre les mesures de sécurité suivantes pour protéger leur infrastructure cloud contre des attaques similaires :

  • Gardez tous vos logiciels à jour.
  • Utilisez IMDS v2 au lieu de v1, ce qui empêche l’accès non autorisé aux métadonnées.
  • Adoptez les principes du moindre privilège sur tous les comptes d’utilisateurs.
  • Limitez l’accès en lecture seule aux ressources susceptibles de contenir des données sensibles telles que Lambda.
  • Supprimez les autorisations anciennes et inutilisées.
  • Utiliser des services de gestion de clés comme AWS KMS, GCP KMS et Azure Key Vault

Sysdig recommande également de mettre en place un système complet de détection et d’alerte pour s’assurer que les activités malveillantes des attaquants sont rapidement signalées, même lorsqu’elles échappent aux mesures de protection.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *