Анализ угроз: компрометация долгосрочного ключа AWS IAM
Источник: securitylabs.datadoghq.com
Анализ инцидента: новые тактики злоумышленников при компрометации AWS ключей доступа
Недавние мероприятия по анализу угроз выявили серьёзный инцидент, связанный со взломом долгосрочного ключа доступа AWS, ассоциированного с пользователем IAM в контексте AWS organization management. Исследование показало использование злоумышленниками широкого спектра как традиционных, так и ранее не задокументированных тактик, методов и процедур (TTP), демонстрирующих эволюцию киберугроз в облачной среде.
Ключевые особенности атаки и используемые методы
В ходе атаки злоумышленники применяли открытый ключ AWS для совершения нетипичных операций, среди которых:
- создание и изменение профилей входа в систему;
- присоединение управляемых политик с расширенными правами, включая AdministratorAccess и AmazonSESFullAccess;
- попытки получения информации о настройках службы электронной почты AWS Simple Email Service (SES) посредством API вызовов
getAccountиGetSendQuota.
Для обеспечения постоянства доступа злоумышленники создали новых пользователей AWS Identity Center, одновременно деактивируя интеграцию служб на уровне организации. Такая тактика фактически реализует модель “постоянство как услуга”, позволяющую сохранять контроль даже после отзыва первичных скомпрометированных учетных данных за счёт динамического создания новых вредоносных IAM-пользователей.
Аномалии в поведении и индикаторы компрометации
Отдельно следует выделить аномалии в пользовательской активности, в том числе многократные попытки входа в AWS Management Console с одного IP-адреса, связанного с Telegram Messenger Inc.. Это свидетельствует о потенциально автоматизированном механизме, где бот Telegram генерирует URL-адреса для доступа в консоль AWS, упрощая несанкционированное проникновение.
Другие подозрительные действия включали:
- создание групп безопасности EC2 с высоким уровнем риска;
- удаление лямбда-функций с названиями и описаниями, упоминающими группу JavaGhost;
- вызовы API по созданию IAM-пользователей через AWS Lambda с user agent, указывающим на выполнение из среды Lambda;
- попытки изменения настроек многофакторной аутентификации (MFA), проявлявшиеся в подозрительной активности и вызовах API, требующих высоких привилегий.
Риски использования долгосрочных ключей доступа
Серьёзность данного инцидента подчёркивает системную уязвимость, связанную с использованием долгосрочных ключей доступа AWS. Такие ключи, по сравнению с временными, представляют повышенный риск компрометации и последующего масштабного злоупотребления.
Эксперты рекомендуют организациям обратить внимание на следующий комплекс мер для минимизации рисков:
- создание и внедрение комплексных систем мониторинга и оповещения о подозрительной активности;
- регулярный аудит и ревизия прав идентификаций, исключая избыточные привилегии;
- использование современных средств защиты для упреждающего обнаружения и блокировки угроз;
- предпочтение временных ключей доступа или использование AWS IAM Roles с ограниченным сроком действия.
Заключение
Этот инцидент служит важным предупреждением для организаций, использующих облачные сервисы AWS. Компрометация доступа к таким критическим ресурсам может привести к масштабным нарушениями безопасности и значительным репутационным потерям. Создание надежной системы безопасности и проактивный подход к выявлению угроз — ключевые факторы защиты в современном облачном мире.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
