A Bling Libra taktikai fejlődése
A Unit 42 által kezelt incidensek során a Bling Libra fenyegető csoport (a ShinyHunters zsarolóvírus mögött álló csoport) bemutatta, hogy a hagyományos taktikájuk, az ellopott adatok eladása,közzététele helyett az áldozatok zsarolására váltottak. Ez az akció azt is bemutatta, hogy a csoport hogyan szerez legitim hitelesítő adatokat, amelyeket nyilvános tárolókból szereznek meg, hogy kezdeti hozzáférést szerezzenek egy szervezet Amazon Web Services (AWS) környezetéhez.
Bár a kompromittált hitelesítő adatokhoz kapcsolódó jogosultságok korlátozták a betörés hatását, a Bling Libra beszivárgott a szervezet AWS-környezetébe, és felderítő műveleteket hajtott végre. Olyan eszközöket használt, mint az Amazon Simple Storage Service (S3) Browser és a WinSCP, hogy információkat gyűjtsön az S3 bucket konfigurációiról, hozzáférjen S3 objektumokhoz és adatokat töröljön.
Annak érdekében, hogy az incidensre reagálók jobban megértsék, hogyan generálnak ezek az eszközök eseményeket a naplókban, ez a kutatás megkülönbözteti a fenyegető szereplők által kezdeményezett tevékenységet az egyes eszközök által automatikusan generált tevékenységtől. Mivel a vállalkozások egyre inkább használnak felhőtechnológiákat, a Bling Libra-hoz hasonló csoportok által jelentett fenyegetés hangsúlyozza a robusztus kiberbiztonsági gyakorlatok fontosságát. A proaktív biztonsági intézkedések végrehajtásával és a kritikus naplóforrások nyomon követésével a szervezetek hatékonyan védhetik felhőalapú eszközeiket és enyhíthetik a kiberfenyegetések hatását. Az AWS naplóforrások és szolgáltatások, például az Amazon GuardDuty, az AWS Config és az AWS Security Hub kulcsfontosságú szerepet játszanak a szervezetek biztonsági helyzetének javításában. Az AWS szervezetek használata esetén az AWS szolgáltatásvezérlési házirendek és jogosultsági korlátok használata további védelmet nyújt. Ezek az eszközök értékes betekintést és riasztásokat nyújtanak a biztonsági elemzőknek, lehetővé téve számukra a biztonsági incidensek hatékony nyomon követését és az azokra való reagálást.
