新的云威胁！黑客利用云技术窃取数据和源代码

一个被称为 "SCARLETEEL "的新的胁黑高级黑客行动针对面向公众的网络应用，其主要手段是云威用渗透到云服务中以窃取敏感数据。

SCARLETEEL是客利由网络安全情报公司Sysdig在应对客户的云环境事件时发现的 。

虽然攻击者在受感染的技术云环境中部署了加密器，但黑客在AWS云机制方面表现出更专业的数据技术，进一步钻入该公司的和源云基础设施 。

Sysdig认为  ，香港云服务器代码加密劫持攻击仅仅是新的胁黑一个诱饵
，而攻击者的云威用目的是窃取专利软件 。

SCARLETEEL攻击

SCARLETEEL攻击开始时，客利黑客利用了托管在亚马逊网络服务（AWS）上的技术Kubernetes集群中面向公众的服务 。

一旦攻击者访问容器，数据他们就会下载一个XMRig coinminer（被认为是和源诱饵）和一个脚本 ，从Kubernetes pod中提取账户凭证。代码

然后 ，免费模板新的胁黑被盗的凭证被用来执行AWS API调用 ，通过窃取进一步的凭证或在公司的云环境中创建后门来获得持久性 。然后这些账户被用来在云环境中进一步传播。

根据AWS集群的角色配置  ，攻击者还可能获得Lambda信息 ，如功能  、配置和访问密钥 。

攻击者执行的命令

接下来 ，攻击者使用Lambda函数枚举和检索所有专有代码和软件，以及执行密钥和Lambda函数环境变量，高防服务器以找到IAM用户凭证，并利用它们进行后续枚举和特权升级
。

S3桶的枚举也发生在这一阶段，存储在云桶中的文件很可能包含对攻击者有价值的数据 ，如账户凭证。

Sysdig的报告中说："在这次特定的攻击中，攻击者能够检索和阅读超过1TB的信息
，包括客户脚本 、故障排除工具和日志文件。这1TB的源码下载数据还包括与Terraform有关的日志文件，Terraform在账户中被用来部署部分基础设施 。这些Terraform文件将在后面的步骤中发挥重要作用  ，也就是攻击者可能转到另一个AWS账户" 。

SCARLETEEL攻击链

为了尽量减少留下的痕迹，攻击者试图禁用被攻击的AWS账户中的CloudTrail日志，这对Sysdig的调查产生了不小的困难。

然而，服务器租用很明显，攻击者从S3桶中检索了Terraform状态文件
，其中包含IAM用户访问密钥和第二个AWS账户的密钥 。这个账户被用来在该组织的云计算中进行横移。

由TruffleHog发现的Terraform秘密

基于云的基础设施安全

随着企业越来越依赖云服务来托管他们的基础设施和数据，黑客们也在与时俱进，成为API和管理控制台方面的专家，继续他们的攻击
。

SCARLETEEL攻击证明，模板下载企业在云环境中的任何一个薄弱点都足以让攻击者利用它进行网络渗透和敏感数据盗窃，当然这些攻击者可能技术更高。

Sysdig建议企业采取以下安全措施，以保护其云基础设施免受类似攻击：

及时更新你所有的软件使用IMDS v2而不是v1，这可以防止未经授权的元数据访问对所有用户账户采用最小特权原则对可能包含敏感数据的资源进行只读访问
，如Lambda删除旧的和未使用的权限使用密钥管理服务，如AWS KMS 、GCP KMS和Azure Key Vault

Sysdig还建议实施一个全面的检测和警报系统，以确保及时报告攻击者的恶意活动
，即使他们绕过了保护措施  。