TTL OSINT

Истории из облачных траншей: набеги на хранилища AWS, ведра и секреты

В этой статье обсуждается исследование безопасности, проведенное компанией Security Labs, в ходе которого была обнаружена кампания, нацеленная на AWS Secrets Manager, AWS S3 и AWS S3 Glacier в нескольких средах AWS. Злоумышленники использовали локальные прокси-серверы в сети Vodafone и Cloudflare WARP VPN для маскировки своего истинного геолокационного местоположения. Они попытались перечислить хранилища, корзины и секреты, но не смогли извлечь какие-либо данные из-за ограничений контроля доступа S3 Glacier. Пользовательский агент, идентифицированный в ходе атаки, скорее всего, сгенерирован библиотекой Python requests-auth-aws-sigv4, что может указывать на ручное управление запросами AWS API. Для обнаружения такого рода активности Security Labs предлагает использовать Datadog Cloud SIEM и правила управления облачной безопасностью (CSM), которые позволяют выявлять потенциальные угрозы и ключи доступа с длительным сроком службы или устаревшие. Кампания подчеркивает важность мониторинга среды AWS на предмет подозрительной активности и обеспечения надлежащего контроля доступа.

Отказ от ответственности: Эта статья является частью автоматизированного сбора рекомендаций X-Force OSINT для обеспечения более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://securitylabs.datadoghq.com/articles/tales-from-the-cloud-trenches-raiding-for-vaults-buckets-secrets/

Примеры признаков компромисса:

• 104.28.242.246
• 104.28.232.2
• 104.28.231.254
• 104.28.200.6
• 148.252.146.75

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал