Lug 13, 2023 Marina Londei Attacchi, News, RSS 0

Scarleteel, un pericoloso cryptominer attivo da febbraio, continua a colpire gli ambienti cloud e sviluppare tecniche sempre più avanzate. Stando agli aggiornamenti di Sysdig, compagnia di sicurezza della Silicon Valley, il cryptominer di recente è riuscito a compromettere gli ambienti AWS Fargate.

Il modus operandi del gruppo, potenzialmente il TeamTNT, è rimasto lo stesso: gli attaccanti sfruttano le vulnerabilità delle applicazioni web per prendere il controllo delle macchine, ottenere persistenza sui sistemi ed effettuare operazioni di cryptomining arrivando a guadagnare fino a 4.000 dollari al giorno.

I ricercatori di Sysdig sono riusciti a sventare l’attacco prima che causasse danni economici ingenti. Nel caso degli attacchi ad AWS, spiega Sysdig, gli attaccanti hanno sfruttato un errore di configurazione nelle policy AWS e sono riusciti a ottenere i privilegi di amministratore, ottenendo il controllo completo della macchina.

Credits: Pixabay

Rispetto alla precedente, l’ultima versione di Scarleteel offre nuove tecniche e tool per espandere il raggio d’azione degli attacchi ed evadere i controlli di sicurezza. Il cryptominer ora integra Pacu, un toolkit normalmente usato per i penetration testing su AWS, ricco di funzionalità offensive, e Peirates, un penetration tool per Kubernetes.

Gli attaccanti, inoltre, hanno imbastito una nuova infrastruttura in cui i domini dei server C2 vengono modificati più volte durante il processo.

Durante l’attacco il gruppo ha utilizzato il client AWS per connettersi a sistemi russi compatibili col protocollo S3 di Amazon per scaricare tool aggiuntivi e ottenere dati dal sistema.

Vista la pericolosità crescente di Scarleteel, i ricercatori consigliano di implementare più livelli di difesa. Oltre a strumenti di individuazione risposta alle minacce, è importante integrare strumenti CSPM e CIEM per aumentare la visibilità delle minacce nei sistemi cloud e gestire in maniera adeguata i privilegi degli utenti nei diversi ambienti.