La seguridad en entornos de nube sigue siendo un desafío constante, y la campaña de ataque avanzado denominada SCARLETEEL demuestra esta realidad.

En esta campaña en curso, los actores de amenazas se centran en Amazon Web Services (AWS) Fargate, aprovechando sus debilidades para llevar a cabo actividades de cryptojacking y robo de datos. En este artículo, exploraremos los detalles de la campaña SCARLETEEL, incluidas sus técnicas, objetivos y posibles vínculos con otros grupos de cryptojacking.

>>Machine Learning: la clave para vencer los ciberataques<<

SCARLETEEL es una campaña de ataque avanzado que tiene como objetivo los entornos de nube, en particular AWS Fargate. Los atacantes han adaptado sus herramientas y técnicas para evadir las medidas de seguridad y establecer una arquitectura de comando y control más resiliente y sigilosa.

En febrero de 2023, la empresa de ciberseguridad Sysdig expuso por primera vez la campaña SCARLETEEL, revelando una cadena de ataque sofisticada que implicaba el robo de datos propietarios de la infraestructura de AWS y la implementación de mineros de criptomonedas para aprovechar los recursos de los sistemas comprometidos de manera ilegal.

Un análisis posterior realizado por Cado Security reveló posibles vínculos con un prolífico grupo de cryptojacking conocido como TeamTNT, aunque Sysdig mencionó que podría tratarse de alguien que imita los métodos y patrones de ataque de TeamTNT.

Técnicas y objetivos de la campaña SCARLETEEL

La campaña SCARLETEEL se aprovecha de entornos containerizados para llevar a cabo el robo de datos propietarios y software. Los atacantes explotan una carga de trabajo containerizada y luego escalan privilegios en una cuenta de AWS para robar software y credenciales.

Además del robo de datos, los atacantes implementan software de crypto minería para generar ganancias ilícitas o distraer a los defensores y confundir la investigación, el ataque comienza aprovechando un servicio público expuesto en un clúster de Kubernetes autoadministrado alojado en AWS. Una vez que los atacantes obtienen acceso al contenedor, descargan un coinminer XMRig y un script para extraer credenciales de la pod de Kubernetes.

Los atacantes utilizan las credenciales robadas para realizar llamadas a la API de AWS y obtener persistencia mediante el robo de más credenciales o la creación de puertas traseras en el entorno de nube de la empresa.

Imagen: The Hacker News

Posibles vínculos con TeamTNT

Se ha planteado la posibilidad de que la campaña SCARLETEEL esté relacionada con el grupo de cryptojacking conocido como TeamTNT. Cado Security encontró similitudes en las tácticas utilizadas en la fase inicial del ataque, así como en el uso de una configuración XMR compartida y otras técnicas utilizadas anteriormente por TeamTNT.

Sin embargo, es importante tener en cuenta que Sysdig mencionó que podría tratarse de un imitador de los métodos y patrones de ataque de TeamTNT, por lo que se requiere una investigación adicional para confirmar cualquier vínculo.

La campaña de cryptojacking SCARLETEEL es un ejemplo destacado de cómo los entornos de nube, como AWS Fargate, continúan siendo objeto de ataques avanzados. Los atacantes han adaptado sus tácticas para evadir las medidas de seguridad y robar datos propietarios, mientras utilizan el cryptojacking como una táctica de distracción. Es crucial que las organizaciones implementen medidas de seguridad sólidas y estén al tanto de las últimas amenazas para proteger sus entornos en la nube.

¿Quieres estar al tanto de las últimas actualizaciones en materia de seguridad? Suscríbete a nuestro blog y síguenos en nuestro Newsletter en LinkedIn.