Das Incident-Response-Team von Wiz (CIRT) untersuchte nach eigenen Angaben “mehrere Angriffe” durch TeamPCP, die auf die Lieferketten-Kompromittierungen folgten. Den missbräuchlichen Einsatz gestohlener Zugangsdaten entdeckte das Team erstmals am 19. März. Dabei nutzten die Angreifer das Open-Source-Werkzeug Trufflehog, um die erbeuteten Anmeldedaten zu prüfen. Beobachtet wurde diese Validierungsaktivität für AWS-Zugriffsschlüssel, Azure-Anwendungsgeheimnisse und verschiedene SaaS-Token.

In den AWS-Vorfällen gingen die Angreifer laut Wiz CIRT ohne Verzögerung vor. “Nachdem die Geheimnisse validiert waren, begann der Angreifer bereits 24 Stunden nach dem ursprünglichen Diebstahl mit AWS-Erkundungsoperationen”, schreiben die Forscher. TeamPCP führte eine umfangreiche Bestandsaufnahme in den AWS-Umgebungen der Opfer durch und sammelte Daten zu Identitäts- und Zugriffsverwaltungsrollen sowie zu S3-Buckets, mit besonderem Augenmerk auf die Erfassung von Instanzen des Amazon Elastic Container Service (ECS).

Anschließend exfiltrierten die Angreifer Daten aus S3-Buckets und dem AWS Secrets Manager und missbrauchten die Funktion ECS Exec, um Bash-Befehle und Python-Skripte auf laufenden Containern auszuführen. Dies ermöglichte es ihnen laut Wiz, die Umgebung weiter zu erkunden und zusätzliche sensible Daten abzuziehen.

Die Aktivität beschränkt sich nicht auf einen einzelnen Cloud-Anbieter. “Unsere Untersuchung zeigt, dass diese Aktivität nicht auf eine einzige Cloud begrenzt ist”, erklärt Wiz Research. “Wir haben Kompromittierungen über Azure, GitHub und andere SaaS-Anbieter hinweg beobachtet, was widerspiegelt, wie Angreifer validierte Zugangsdaten über Umgebungen hinweg wiederverwenden.” Auf GitHub missbrauchte TeamPCP die Workflows der Plattform, um Code in anvisierten Repositories auszuführen, und nutzte zudem GitHub Personal Access Tokens, um in großem Umfang geklonte Repositories anzulegen.

Nach Einschätzung von Wiz setzt TeamPCP auf Geschwindigkeit statt auf Unauffälligkeit und Tarnung. “Unsere Analyse zeigt, dass TeamPCP gestohlene Zugangsdaten schnell validiert und eingesetzt hat”, so Wiz Research. “Gleichzeitig konnten Organisationen, die schnell handelten, um Zugänge zu widerrufen oder zu erneuern, den Wirkungsradius begrenzen.”

Organisationen, die von den Lieferketten-Angriffen auf Trivy, KICS, LiteLLM und Telnyx betroffen sein könnten, sollten sämtliche Geheimnisse und Zugangsdaten erneuern. Da TeamPCP möglicherweise schon vor dem Diebstahl der Zugangsdaten Zugriff auf Cloud-Instanzen erlangt hat, empfiehlt Wiz, gezielt nach verdächtigen und auffälligen Aktivitäten zu suchen. Dazu zählen die ungewöhnliche Nutzung von VPNs, eine große Zahl von “git.clone”-Ereignissen in kurzer Zeit sowie verdächtige Erkundungsaktivitäten. Wiz veröffentlichte Kompromittierungsindikatoren (IOCs) zu den jüngsten Angriffen und rät Sicherheitsteams, auf diese Anzeichen zu achten und sicherzustellen, dass die Audit-Protokollierung netzweit aktiviert ist.