Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вымогатели атакуют плоскость управления AWS: украденные ключи и Pacu

4
3 мин
Группы вымогателей все чаще нацеливаются не только на данные и сервисы, но и на _плоскость управления_ облачной инфраструктуры — в частности на уровень управления AWS, используя украденные ключи. Это изменение тактики расширяет возможности атак и делает их более опасными для организаций, где мониторинг и механизмы обнаружения в облаке развиты слабее, чем в традиционной локальной среде. Доступ к плоскости управления позволяет злоумышленникам получать широкий контроль над облачными ресурсами: создавать и удалять экземпляры, изменять политики доступа, включать или отключать сервисы. В руках вымогателей это повышает потенциальный эффект атаки и усложняет обнаружение вредоносной активности. Важным инструментом в таких инцидентах оказался Pacu — легитимный фреймворк для тестирования безопасности AWS. Хотя Pacu предназначен для оценки защищённости и pentest-активностей, его функциональность может быть переориентирована злоумышленниками для разведки и эскалации привилегий внутри скомпрометиров
Оглавление

Группы вымогателей все чаще нацеливаются не только на данные и сервисы, но и на _плоскость управления_ облачной инфраструктуры — в частности на уровень управления AWS, используя украденные ключи. Это изменение тактики расширяет возможности атак и делает их более опасными для организаций, где мониторинг и механизмы обнаружения в облаке развиты слабее, чем в традиционной локальной среде.

Почему атаки на уровень управления опаснее

Доступ к плоскости управления позволяет злоумышленникам получать широкий контроль над облачными ресурсами: создавать и удалять экземпляры, изменять политики доступа, включать или отключать сервисы. В руках вымогателей это повышает потенциальный эффект атаки и усложняет обнаружение вредоносной активности.

Инструменты злоумышленников: легитимные средства в плохих руках

Важным инструментом в таких инцидентах оказался Pacu — легитимный фреймворк для тестирования безопасности AWS. Хотя Pacu предназначен для оценки защищённости и pentest-активностей, его функциональность может быть переориентирована злоумышленниками для разведки и эскалации привилегий внутри скомпрометированной облачной среды.

Как проводилось расследование и какие данные удалось получить

После обнаружения украденных ключей AWS следственные действия включали использование Varonis и сопутствующих средств для идентификации конкретных вызовов API, выполненных с этих ключей. В результате удалось:

  • отследить IP-адреса, связанные с вредоносными вызовами API;
  • получить набор индикаторов компрометации (IOCs), полезных для дальнейшего мониторинга;
  • установить цепочки действий, связывающие облачные операции с локальными событиями.
Расследование показало, что сервер Veeam выступал в качестве координатора использования скомпрометированных ключей, связывая облачную угрозу с продолжающейся атакой программ-вымогателей на локальную инфраструктуру.

Это указывает, что злоумышленники не ограничиваются одной средой: они способны координировать атаки между облачными и локальными ресурсами, что требует согласованных мер защиты в обеих плоскостях.

Что это значит для организаций

Меняющийся ландшафт угроз требует адаптации защитных механизмов. Ключевые выводы:

  • Уровень управления (management plane) — приоритетная зона для мониторинга и защиты.
  • Легитимные инструменты (например, Pacu) могут быть использованы злоумышленниками; наличие таких инструментов в среде требует контроля и аудитных следов.
  • Связь облачных и локальных инцидентов (участие Veeam в расследовании) подчёркивает необходимость единой стратегии безопасности.
  • IOCs, полученные в ходе расследования, критичны для оперативного обнаружения и предотвращения распространения атаки.

Практические рекомендации

Организациям стоит сосредоточиться на следующих защитных мерах:

  • Внедрить централизованный мониторинг и логирование действий в управленческой плоскости (AWS CloudTrail и сопутствующие сервисы). Вести аудит всех вызовов API.
  • Ограничить применение долгоживущих ключей и внедрить процессы ротации ключей и управления секретами.
  • Применять принцип наименьших привилегий (Least Privilege) для учётных записей и сервисных ролей.
  • Контролировать и регистрировать использование легитимных pentest-инструментов (например, Pacu) внутри среды; блокировать несанкционированное использование.
  • Использовать сигнатуры и IOCs, полученные в расследовании, для настройки детектирования и реагирования (SIEM, EDR/IDR).
  • Организовать скоординированный план реагирования, охватывающий как облачную, так и локальную инфраструктуру, включая сценарии, когда атака охватывает обе среды.

Заключение

Перемещение фокуса вымогателей на плоскость управления AWS — тревожный тренд, который повышает риски для организаций. Комплексная защита, включающая усиленный мониторинг management plane, управление ключами, аудит использования инструментов и готовность реагировать на скоординированные облачно‑локальные атаки, необходима для снижения вероятности успешной компрометации и минимизации ущерба.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вымогатели атакуют плоскость управления AWS: украденные ключи и Pacu".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются