AWS 環境を狙うキャンペーン:Secrets Manager/S3 Bucket に加えて Glacier vault も標的に

AWS Under Siege: Attackers Target Vaults, Buckets, and Secrets in Widespread Campaign

2024/06/19 SecurityOnline — Amazon Web Services (AWS) 環境を標的とするキャンペーンは、クラウド・リソースの侵害を目的とした活動の、新たな流れを浮き彫りにしている。この DataDog Security Labs が発見したキャンペーンにおいて、攻撃者が採用する多方面からのアプローチは、Secrets Manager/S3 Bucket からと、これまで未開拓であった S3 Glacier vaults からの、データの抽出と流出に焦点を当てたものとなっている。


2024年5月23〜27日に観測された、このキャンペーンは、クラウド・インフラを標的とするサイバー脅威の、持続的かつ進化的な性質を際立たせるものとなっている。攻撃者は、流出させたアクセス・キー/住居用プロキシ/Cloudflare WARP VPN を悪用することで、その活動を隠蔽している。

このキャンペーンの特徴として挙げられるのは、通常とは異なるユーザー・エージェントを、攻撃者が採用している点だ。具体的に言うと、Python のライブラリ requests-auth-aws-sigv4 を使って、攻撃者が AWS API リクエストに手動で署名していたことが判明している。この特殊な攻撃パターンは、同様の悪意の活動を検知するための貴重な指標となり得る。


DataDog の調査によると、データ流出の試みは成功していなかった。しかし、AWS リソースの広範な列挙が示唆するのは、計算され尽くした大規模なオペレーションの存在である。この攻撃者のアクションとして推測されるのは、流出を開始する前のデータの利用価値の評価や、アンダーグラウンドで転売が可能なアクセス・レベルのテストなどである。

このキャンペーンに、S3 Glacier vault が含まれていることで、攻撃者の戦術の顕著な変化が示されている。これまでは、S3 バケットが主な標的だったが、バックアップ・ストレージに多用される Glacier vault への注目が示すのは、攻撃の範囲の拡大と悪用の可能性に対する、新たな手段の追求である。

DataDog のレポートが提供するのは、このキャンペーンで採用された戦術/技術/手順 (TTP:tactics, techniques, and procedures) に関する貴重な洞察や、AWS セキュリティ体制を強化するための情報である。ユーザー組織は、レポートに概説されている侵害の指標 (IOC:indicators of compromise) を監視し、予防的なセキュリティ対策を実施することで、同様の攻撃からのリスクを軽減できる。

このような巧妙な攻撃を特定し、軽減するためには、下記のような多面的なアプローチが有効だ:

  • 侵害の指標 (IoC):提供された IoC を利用して、この特定のキャンペーンを検出する。Cloudflare の API コールが予想される場合は、WARP クライアントの IP アドレスを充実させる。
  • API コールの監視:短い時間枠で複数のリージョンにわたる ListSecretListVault の API コールを監視する。攻撃者は、これらの API コールを、17のリージョンで1分以内に実行しており、検知の目印となる。
  • Access Denied Error Spikes: Look for unusual spikes in AccessDenied errors for API calls like ListSecretsListBuckets, and ListObjects. This could indicate attempted unauthorized access by attackers.
  • アクセス拒否エラー・スパイク:ListSecretsListBucketsListObjects のような API コールの AccessDenied エラーに、異常なスパイクが存在しないことを確認する。もし、スパイクが見つかれば、攻撃者による不正アクセス試行を示している可能性がある。

サイバー脅威の状況が進化し続ける中で、AWS リソースが標的にされたという事実が、クラウド・セキュリティを強固にすることの重要性を強調している。ユーザー組織にとって必要なことは、警戒を怠らず、徹底的な防御のアプローチを採用し、脅威インテリジェンスを活用することだ。

このキャンペーンですが、文中のフロー図を見ると、イニシャル・アクセスが侵害済みの IAM ユーザー・アクセスキーであり、そこから Secrets Manager/S3 Bucket/S3 Glacier vaults などへと、横展開していく流れとなっています。脅威アクターたちから見れば、とても魅力的な AWS への不正アクセスなので、さまざまな侵害のアプローチが考案され続けるのでしょう。よろしければ、カテゴリ Cloud も、ご利用ください。