Operasi peretasan tingkat lanjut yang dijuluki ‘SCARLETEEL’ menargetkan aplikasi web publik yang berjalan dalam wadah untuk menyusup ke layanan cloud dan mencuri data sensitif.
SCARLETEEL ditemukan oleh firma intelijen keamanan siber Sysdig saat menanggapi insiden di salah satu lingkungan cloud pelanggan mereka.
Sementara penyerang menyebarkan penambang kripto di lingkungan cloud yang dikompromikan, para peretas menunjukkan keahlian tingkat lanjut dalam mekanika cloud AWS, yang mereka gunakan untuk menggali lebih jauh ke dalam infrastruktur cloud perusahaan.
Sysdig yakin serangan cryptojacking digunakan sebagai umpan untuk tujuan sebenarnya dari pelaku ancaman, yaitu pencurian perangkat lunak berpemilik.
serangan SCARLETEEL
Serangan SCARLETEEL dimulai dengan peretas yang mengeksploitasi layanan publik yang rentan di kluster Kubernetes yang dikelola sendiri yang dihosting di Amazon Web Services (AWS).
Setelah penyerang mengakses wadah, mereka mengunduh penambang koin XMRig, yang diyakini berfungsi sebagai umpan, dan skrip untuk mengekstrak kredensial akun dari pod Kubernetes.
Kredensial yang dicuri kemudian digunakan untuk melakukan panggilan API AWS untuk mendapatkan kegigihan dengan mencuri kredensial lebih lanjut atau membuat pengguna dan grup pintu belakang di lingkungan cloud perusahaan. Akun-akun ini kemudian digunakan untuk menyebar lebih jauh melalui lingkungan cloud.
Bergantung pada konfigurasi peran klaster AWS, penyerang juga dapat memperoleh akses ke informasi Lambda, seperti fungsi, konfigurasi, dan kunci akses.
Sumber: Sysdig
Selanjutnya, penyerang menggunakan fungsi Lambda untuk menghitung dan mengambil semua kode hak milik dan perangkat lunak beserta kunci eksekusinya dan variabel lingkungan fungsi Lambda untuk menemukan kredensial pengguna IAM dan memanfaatkannya untuk putaran pencacahan berikutnya dan eskalasi hak istimewa.
Pencacahan bucket S3 juga terjadi pada tahap itu, dan file yang disimpan di bucket cloud cenderung berisi data berharga untuk penyerang, seperti kredensial akun.
“Selama serangan khusus ini, penyerang dapat mengambil dan membaca lebih dari 1 TB informasi, termasuk skrip pelanggan, alat pemecahan masalah, dan file logging,” menurut laporan Sysdig.
“Data sebesar 1 TB juga termasuk file logging yang terkait dengan Terraform, yang digunakan di akun untuk menerapkan sebagian infrastruktur. File Terraform ini akan memainkan peran penting di langkah selanjutnya saat penyerang mencoba melakukan pivot ke akun AWS lain. ” – Sysdig.
Sumber: Sysdig
Untuk meminimalkan jejak yang tertinggal, penyerang berusaha menonaktifkan log CloudTrail di akun AWS yang disusupi, sehingga berdampak buruk pada penyelidikan Sysdig.
Namun, terbukti bahwa penyerang mengambil file status Terraform dari bucket S3 yang berisi kunci akses pengguna IAM dan kunci rahasia untuk akun AWS kedua. Akun ini akhirnya digunakan untuk pergerakan lateral dalam jaringan cloud organisasi.
Sumber: Sysdig
Mengamankan infrastruktur berbasis cloud Anda
Karena perusahaan semakin bergantung pada layanan cloud untuk menghosting infrastruktur dan data mereka, peretas mengikuti, menjadi ahli dalam API dan konsol manajemen untuk melanjutkan serangan mereka.
Serangan SCARLETEEL membuktikan bahwa satu titik rentan di lingkungan cloud organisasi sudah cukup bagi pelaku ancaman yang gigih dan berpengetahuan luas untuk memanfaatkannya untuk infiltrasi jaringan dan pencurian data sensitif.
Sysdig menyarankan agar organisasi mengambil langkah-langkah keamanan berikut untuk melindungi infrastruktur cloud mereka dari serangan serupa:
- Selalu perbarui semua perangkat lunak Anda.
- Gunakan IMDS v2 alih-alih v1, yang mencegah akses metadata yang tidak sah.
- Mengadopsi prinsip hak istimewa paling rendah di semua akun pengguna.
- Cakupan akses baca saja pada sumber daya yang mungkin berisi data sensitif seperti Lambda.
- Hapus izin lama dan tidak terpakai.
- Gunakan layanan manajemen kunci seperti AWS KMS, GCP KMS, dan Azure Key Vault.
Sysdig juga merekomendasikan penerapan sistem deteksi dan peringatan yang komprehensif untuk memastikan bahwa aktivitas berbahaya oleh penyerang segera dilaporkan, bahkan ketika mereka menghindari tindakan perlindungan.
