СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
11.12.2024
#Утечки #Dev#ИБ#Облака

Saviynt: хакеры используют неправильные настройки AWS для масштабной кражи данных

Saviynt: хакеры используют неправильные настройки AWS для масштабной кражи данных

изображение: recraft

Компания Saviynt в своём новом отчёте рассказала о масштабной кибероперации с использованием уязвимостей неправильно настроенных общедоступных веб-сайтов, которая связана с деятельностью хакерских групп Nemesis и ShinyHunters. В результате этих инцидентов были раскрыты конфиденциальные данные: информация о клиентах, учётные данные инфраструктуры и исходный код, защищённый авторским правом.

По словам экспертов по кибербезопасности Ноама Ротема и Рана Локара, злоумышленники организовали масштабное сканирование интернета, нацеленное на уязвимые конечные точки в диапазонах IP-адресов Amazon Web Services (AWS). Они получили доступ к конфиденциальной информации через неправильно настроенные системы, что привело к более чем 2 ТБ скомпрометированных данных. Эти данные содержали тысячи учётных записей и секретов, а также подробные списки эксплуатируемых целей по всему миру.

В отчёте говорится, что киберпреступники реализовали двухэтапную стратегию атаки.

Используя общедоступные диапазоны IP-адресов AWS, злоумышленники идентифицировали потенциальные цели, сканируя уязвимости приложений или неправильные конфигурации. Они применяли инструменты Shodan для выполнения обратного поиска по IP-адресам и извлечения связанных доменных имён. Анализ сертификатов SSL расширил их списки целевых доменов.

Хакерская группа сканировала открытые конечные точки на предмет конфиденциальных данных, в том числе учётных данных для доступа к базам данных, ключей API и других секретов безопасности. Эксплойты, такие как удалённые оболочки, позволяли глубже проникать в скомпрометированные системы.

Украденная информация была представлена в разных видах: от ключей AWS до учётных данных для популярных платформ — GitHub, Twilio и криптовалютных бирж. Проверенные учётные данные позже продавались на каналах Telegram за сотни евро за взлом.

Джим Раут, главный трастовый директор Saviynt, заявил:, что обе эти хакерские группы представляют собой технически сложный киберпреступный синдикат, который действует в больших масштабах с целью получения прибыли.

Полная версия отчёта представлена по ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: