'Elektra-Leak' Saldırganları GitHub Kampanyasında AWS Bulut Anahtarlarını Topluyor - Dünyadan Güncel Teknoloji Haberleri

'Elektra-Leak' Saldırganları GitHub Kampanyasında AWS Bulut Anahtarlarını Topluyor - Dünyadan Güncel Teknoloji Haberleri

Hızlı Tespit ve Kötüye Kullanım

Bu hafta yayınlanan bir raporda araştırmacılar, kampanyayı, tehdit aktörünün IAM kimlik bilgilerinin halka açık GitHub deposunda ifşa edilmesinden sonraki yalnızca beş dakika içinde tam teşekküllü bir saldırı başlatma becerisi açısından dikkate değer olarak nitelendirdi Ayrıca kimlik bilgilerini kaldırmaları ve yeni AWS kimlik bilgileri oluşturmaları gerekir Gerçekten yardımcı olabilecek şeyin, geliştiricilerin iyi seçimler yapmasını kolaylaştıran kimlik doğrulama sistemleri olduğunu ekledi ”

Contrast Security’nin kurucu ortağı ve CTO’su Jeff Williams, kampanyanın kuruluşların temel güvenlik uygulamalarını uygulamadaki hayal kırıklığı yaratan başarısızlığını vurguladığını söyledi bu hafta rapor ver Palo Alto araştırmacıları, ilk keşif çalışmasının ardından tehdit aktörünün, hesap aracılığıyla erişebildikleri herhangi bir AWS bölgesi için bölge başına birden fazla EC2 örneğini başlatmak üzere bir AWS API kullandığını buldu “Bu durumda tehdit aktörü, kurbanlardan kaynak çalmaya yönelik kötü niyetli eylemlerine müdahale edecek hiçbir politika olmadan saldırıya devam edebilir Güvenlik sağlayıcısı, “Kuruluşların üretim ortamında herhangi bir dinamik işlevi gerçekleştirmek için kısa ömürlü kimlik bilgileri kullanmasını önemle tavsiye ediyoruz” dedi Raporda, saldırganın otomatik taramayı bir VPN’in arkasından yapması ve yükleri hazırlamak için Google Drive’ı kullanmasının, Palo Alto araştırmacılarının düşmanın coğrafi konumunu tespit etmesini zorlaştırdığı da belirtildi

Tehdit aktörünün kripto madenciliği için EC2 hesapları oluşturmak amacıyla açık anahtarları hâlâ kullanabilmesi, AWS’nin bulamadığı açık anahtarları bulabildiklerini gösteriyor Palo Alto raporunda “Kanıtlarımıza göre muhtemelen öyle yaptılar” dedi



Saldırganlar, kripto para birimi madenciliği amacıyla AWS Elastic Compute (EC2) örnekleri oluşturmak için açıktaki Amazon Web Services (AWS) kimlik ve erişim yönetimi (IAM) kimlik bilgilerini kamuya açık GitHub depolarında aktif olarak topluyor Kampanyaya ilişkin araştırmaları, tehdit aktörünün büyük olasılıkla herkese açık GitHub depolarını sürekli olarak klonlamak ve açıkta kalan AWS anahtarlarını bulmak için otomatik araçlar kullandığını gösterdi

Palo Alto, AWS IAM kimlik bilgilerini yanlışlıkla açığa çıkarmış olabilecek kuruluşların, kimlik bilgilerine bağlı API bağlantılarını derhal iptal etmesini önerdi Birçok kuruluş GitHub depolarını klonlayarak geliştirme ortamlarında deponun yerel bir kopyasına sahip olmalarını sağlar Aslında saldırgan, Palo Alto’nun kasıtlı olarak açığa çıkan anahtarlarını GitHub’da fark ettiğinde, AWS bunları zaten karantinaya almıştı Amazon, bu tür suiistimallere karşı koruma sağlamak amacıyla, maruz kaldıktan sonraki birkaç dakika içinde karantina politikalarını başarılı bir şekilde uygulamaya koymasına rağmen, saldırgan, AWS EC2 bulut sunucuları oluşturmak için açığa çıkan anahtarları kullanabildi Williams, e-postayla gönderdiği bir yorumda, “Karmaşık değil, sadece anahtarlarınızı halka açık olarak paylaşmıyorsunuz” dedi

Tehdit aktörünün Palo Alto’nun bal küpüne yaptığı saldırılardan elde edilen veriler, saldırganın bir VPN arkasından halka açık GitHub depolarını gerçek zamanlı olarak taradığını ve ilgili AWS hesabı üzerinde keşif gerçekleştirmek için açığa çıkan AWS anahtarlarını kullandığını gösterdi



siber-1

“Kampanyanın neden hala aktif olduğuna dair çeşitli spekülasyonlar arasında, bu kampanyanın yalnızca açığa çıkan GitHub kimlik bilgilerine veya Amazon EC2 bulut sunucusu hedeflemesine odaklanmadığı yer alıyor

Kampanyayı “Elektra-Leak” olarak takip eden Palo Alto Networks araştırmacıları, bu hafta saldırganın ağustos ayına kadar kripto madenciliği için en az 474 benzersiz geniş formatlı veya hesaplama için optimize edilmiş Amazon EC2 örneği oluşturduğunu gözlemlediklerini söyledi ”

Palo Alto araştırmacıları, Elektra-Leak kampanyasını, şirketin yeni ve ortaya çıkan bulut güvenliği tehditlerine ilişkin tehdit istihbaratı toplamak için uyguladığı bir bal tuzağı aracılığıyla keşfetti

Amazon’un Karantina Korumasını Atlamak mı?

Palo Alto araştırmacıları, bal küpü uygulamasının bir parçası olarak AWS anahtarlarını kasıtlı olarak halka açık bir GitHub deposunda açığa çıkardıklarında, AWS’nin açığa çıkan anahtarları hızlı bir şekilde tespit ettiğini ve anahtarların kötüye kullanılmasını önleyen bir karantina politikası uyguladığını gördüler

Güvenlik sağlayıcısı, Monero’nun gizlilik korumalarının Palo Alto araştırmacılarının ilgili cüzdanları takip etmesini engellediğini, dolayısıyla tehdit aktörünün şu ana kadar ne kadar kripto para birimi madenciliği yaptığına dair herhangi bir rakam elde etmenin mümkün olmadığını söyledi Bu tür binlerce sorun var ve bunların hepsinde mükemmel performans göstermeleri gerekiyor, aksi takdirde aptal veya tembel oldukları için sürüklenmeleri gerekiyor” dedi “Ancak geliştiricileri suçlamak da adil değil Saldırganlar daha sonra Monero kripto madenciliği için Google Drive’da saklanan bir veriyi indirdiler

Palo Alto araştırmacıları William Gamazo ve Nathaniel Quist, “Başarılı AWS karantina politikalarına rağmen kampanya, ele geçirilen kurban hesaplarının sayısı ve sıklığında sürekli dalgalanmayı sürdürüyor” dedi 30 ve 6 Ekim