クラウドおよびコンテナセキュリティ企業Sysdigは、特定のAWS環境を標的としたデータ窃盗やその他の悪意ある活動を行うScarleteel脅威に関する新たなレポートを発表しました。Scarleteel脅威の仕組みと、この脅威からビジネスを守る方法について解説します。
ジャンプ先:
- スカーレットールの脅威とは何ですか?
- スカーレットールの新たな作戦
- クリプトジャッキングは囮として利用される可能性がある
- このサイバーセキュリティの脅威から身を守る方法
スカーレットールの脅威とは何ですか?
Scarleteelは、2023年2月にSysdigによって発見された、AWSクラウド環境に対する高度な攻撃です。この攻撃は、Kubernetesコンテナを侵害し、被害者のAWSアカウントに拡散することから始まり、プロプライエタリソフトウェアを窃取するという唯一の目的を念頭に置いていました。この攻撃では、侵害された環境にクリプトマイナーもドロップされましたが、Sysdigの脅威調査チームは、このクリプトジャッキング攻撃は、データ窃取攻撃の検知を回避するための囮として利用された可能性が高いと推定しています。
この攻撃により、脅威の攻撃者が、Elastic Compute Cloud ロール、Lambda サーバーレス関数、あらゆる種類のクラウド ソリューション上のインフラストラクチャの操作を自動化できるオープンソースのコード ツールである Terraform などの AWS クラウドの仕組みについて十分な知識を持っていることが明らかになりました。
スカーレットールの新たな作戦
Sysdig脅威調査チームによると、Scarleteelの戦術、手法、手順は改善されています。前回の攻撃と同様に、今回の攻撃者の最終目的はデータの窃取にあるようですが、攻撃者は依然として攻撃中にクリプトマイナーを仕掛けています(図A)。
図A
Scarleteel が AWS Fargate の認証情報を狙う仕組み
今回の攻撃は、脅威アクターがKubernetesクラスターにデプロイされたJupyterLabノートブックコンテナを悪用することから始まります。その後、攻撃者は認証情報の窃取に焦点を絞り、複数のスクリプトを用いて、ファイルシステム内のインスタンスメタデータサービス(IMDSv1およびIMDSv2)と標的マシンに作成されたDockerコンテナ内のAWS Fargate認証情報を取得しようとします。窃取された認証情報は、以前Scarleteelが使用していたIPアドレスに送信されます。
攻撃者は、IMDSv1 を使用しているコンテナ内の AWS 認証情報を窃取することに成功しました。IMDSv2 のパスワード窃取は、特定の環境に大きく依存します。設定によっては、攻撃者が IMDSv2 上で認証情報を窃取できない可能性があります。
セキュリティソリューションによって監視されることが多いcurlおよびwgetコマンドラインツールの使用に基づく検出を回避するため、脅威アクターは取得した認証情報を盗み出すためにカスタムスクリプトを使用することを決定しました(図B)。データはBase64エンコードされているため、平文で送信されることはありません。
図B
攻撃者は認証情報を入手すると、攻撃的なセキュリティテスト用に設計されたオープンソースの AWS エクスプロイトフレームワークである Pacu を使用して AWS コマンドラインインターフェイスをインストールします。
その後、攻撃者は AWS CLI の –endpoint-url オプションを使用して Amazon S3 と互換性のあるロシアのシステムに接続し、被害者の CloudTrail に記録されることなくツールをダウンロードしてデータを盗み出すことができました。
脅威アクターは、標的の AWS 環境で自動偵察を実施した後、管理者アクセス権を取得し、「aws_support」という名前のユーザーを作成し、そのユーザーに切り替えて操作を続行しました。
ScarleteelがKubernetesをターゲットにする方法
脅威アクターは、被害者の環境におけるKubernetesを積極的に標的としています。攻撃者はPeiratesというKubernetes侵入ツールを使用しており、これにより攻撃者は権限を昇格し、Kubernetesクラスター内を移動することができます。また、トークンやシークレットを窃取・収集するための既知の手法を自動化します。
脅威アクターは、LinuxシステムやIoTシステムを用いて特定の標的にDDoS攻撃を実行する、Miraiに似たマルウェア「Pandora」も実行しました。研究者らは、「この攻撃は、攻撃者が金銭と引き換えにDDoS機能を提供するDDoS-as-a-Serviceキャンペーンの一環である可能性が高い」と述べています。
クリプトジャッキングは囮として利用される可能性がある
攻撃中、脅威アクターはXMRigクリプトマイナーのインスタンスを42個作成しました。XMRigは、クリプトジャッキング攻撃で攻撃者が頻繁に使用する正規のツールです。この膨大な数のインスタンスはすべてXMRigマイナーを実行しており、すぐに捕捉されましたが、脅威アクターはその後、Secret Managerからシークレットを盗んだり、SSHキーを更新して新しいインスタンスを実行したりすることで、同じ目的を達成するために別のアカウントを作成しました。しかし、権限不足のため失敗しました。
ステルス作戦を展開していた脅威アクターが、突如としてこれほどまでに騒々しい活動を開始するのは興味深いことです。このことから、この作戦における暗号通貨マイニングの部分は、データ窃取活動全体を隠蔽するための囮に過ぎない可能性が改めて示唆されます。
このサイバーセキュリティの脅威から身を守る方法
- コンテナ イメージは常に信頼できるソースから取得し、最新のセキュリティ パッチで常に更新する必要があります。
- 攻撃対象領域を拡大させないため、不要なサービスは常に無効化する必要があります。また、権限を最小限に抑え、リソース制限を強制する必要があります。
- IMDSv1 の代わりに AWS IMDSv2 を使用することは、設定に応じて攻撃者による認証情報の盗難が困難になるため、コンテナのセキュリティのベストプラクティスとして推奨されます。
- AWS Identity and Access Management ロールの権限は慎重に確認する必要があります。
- コンテナ イメージ内の脆弱性やマルウェアを特定するには、セキュリティ スキャン ツールを使用する必要があります。
- 必要なタスクのみにアクセスを制限するために、正確なインバウンドおよびアウトバウンドポリシーを導入する必要があります。AWS CloudTrail ログを分析し、疑わしいアクティビティがないか確認する必要があります。
- AWS アカウントに接続するには、多要素認証を導入する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
