Una campaña de extorsión a gran escala comprometió a varias organizaciones al explotar archivos de variables de entorno (.env) disponibles públicamente que contenían credenciales asociadas con aplicaciones en la nube y redes sociales.
“Se observaron varios errores de seguridad durante esta campaña, entre ellos: exposición de variables de entorno, uso de credenciales de larga duración y falta de arquitectura de privilegios mínimos”, Unidad 42 de Palo Alto Networks. dicho en un informe del jueves.
La campaña es conocida por instalar su infraestructura de ataque en entornos de Amazon Web Services (AWS) de organizaciones infectadas y utilizarlos como plataforma de lanzamiento para escanear más de 230 millones de objetivos únicos en busca de datos confidenciales.
Con 110.000 dominios atacados, la actividad maliciosa supuestamente capturó más de 90.000 variables únicas en los archivos .env, de las cuales 7.000 pertenecían a los servicios en la nube de las organizaciones y 1.500 variables estaban vinculadas a cuentas de redes sociales.
“Esta campaña implicó que los atacantes recuperaran con éxito datos alojados en contenedores de almacenamiento en la nube”, dijo la Unidad 42. “Los atacantes no cifraron los datos antes de exigir el rescate, sino que los extrajeron y colocaron la nota de rescate en el contenedor de almacenamiento en la nube comprometido. »
El aspecto más llamativo de estos ataques es que no se basan en vulnerabilidades de seguridad o errores de configuración en los servicios de los proveedores de la nube, sino que provienen de la exposición accidental de archivos .env en aplicaciones web que no son seguras para obtener acceso inicial.
Una infracción exitosa de un entorno de nube prepara el escenario para medidas de descubrimiento y reconocimiento en profundidad en un esfuerzo por ampliar su alcance, con actores de amenazas que utilizan claves de acceso de AWS Identity and Access Management (IAM) para crear nuevos roles y elevar sus privilegios.
Luego, la nueva función de IAM con permisos administrativos se utiliza para crear nuevas funciones de AWS Lambda para lanzar una operación de escaneo automatizada en todo Internet que contiene millones de dominios y direcciones IP.
“El script recuperó una lista de objetivos potenciales de un depósito S3 de terceros de acceso público operado por el actor de la amenaza”, dijeron los investigadores de la Unidad 42 Margaret Zimmermann, Sean Johnstone, William Gamazo y Nathaniel Quist.
“La lista de objetivos potenciales sobre los que repitió la función lambda maliciosa contenía un registro de los dominios de la víctima. Para cada dominio de la lista, el código ejecutó una consulta cURL, dirigida a todos los archivos de variables de entorno expuestos en ese dominio (es decir,
Si el dominio de destino aloja un archivo de entorno expuesto, las credenciales de texto sin formato contenidas en el archivo se extraen y se almacenan en una carpeta recién creada en otro depósito público de AWS S3 controlado por un actor de amenazas. Desde entonces, AWS eliminó el depósito.
Se descubrió que la campaña de ataque se dirigía específicamente a casos en los que los archivos .env contienen credenciales de Mailgun, lo que indica un esfuerzo del adversario por explotarlos para enviar correos electrónicos de phishing desde dominios legítimos y eludir las protecciones de seguridad.
La cadena de infección termina cuando el actor de amenazas extrae y elimina datos confidenciales del depósito S3 de la víctima y carga una nota de rescate que le solicita que se comunique y pague un rescate para evitar vender la información en la web oscura.
Las motivaciones financieras del ataque también son evidentes en los intentos fallidos del actor de la amenaza de crear nuevos recursos Elastic Cloud Compute (EC2) para la minería ilícita de criptomonedas.
Aún no está claro quién está detrás de esta campaña, en parte debido al uso de VPN y la red TOR para ocultar su verdadero origen, aunque la Unidad 42 dijo haber detectado dos direcciones IP geolocalizadas en Ucrania y en Marruecos como parte de la función lambda. y actividades de exfiltración S3, respectivamente.
“Los atacantes detrás de esta campaña probablemente utilizaron amplias técnicas de automatización para operar con éxito y rapidez”, dijeron los investigadores. “Esto indica que estos grupos de actores de amenazas son capacitados y competentes en procesos y técnicas avanzadas de arquitectura de nube. »