Uma campanha de extorsão em grande escala comprometeu várias organizações, explorando arquivos de variáveis de ambiente (.env) acessíveis ao público, que continham credenciais associadas a aplicativos de nuvem e de mídia social.
"Vários erros de segurança estavam presentes no decorrer dessa campanha, incluindo os seguintes: exposição de variáveis de ambiente, uso de credenciais de longa duração e ausência de arquitetura de privilégio mínimo", disse a Unidade 42 da Palo Alto Networks em um relatório na quinta-feira.
A campanha é notável por estabelecer sua infraestrutura de ataque dentro dos ambientes Amazon Web Services (AWS) das organizações infectadas e utilizá-los como uma plataforma de lançamento para a varredura de mais de 230 milhões de alvos exclusivos em busca de dados confidenciais.
Com 110.000 domínios visados, a atividade maliciosa teria obtido mais de 90.000 variáveis exclusivas nos arquivos .env, das quais 7.000 pertenciam aos serviços de nuvem das organizações e 1.500 variáveis estavam vinculadas a contas de mídia social.
"A campanha envolveu hackers que conseguiram resgatar dados hospedados em contêineres de armazenamento em nuvem", disse a Unit 42. "O evento não incluiu invasores que criptografaram os dados antes do resgate, mas, em vez disso, eles exfiltraram os dados e colocaram a nota de resgate no contêiner de armazenamento em nuvem comprometido."
O aspecto mais marcante dos ataques é que eles não se baseiam em vulnerabilidades de segurança ou configurações incorretas nos serviços dos provedores de nuvem, mas resultam da exposição acidental de arquivos .env em aplicativos da Web não seguros, possibilitando o acesso inicial.
Uma violação bem-sucedida de um ambiente de nuvem abre caminho para extensas etapas de descoberta e reconhecimento, com o objetivo de ampliar a posição de ataque. Os hackers usam as chaves de acesso do AWS Identity and Access Management (IAM) para criar novas funções e aumentar seus privilégios.
A nova função do IAM com permissões administrativas é então usada para criar funções do AWS Lambda, que iniciam uma operação de varredura automatizada em toda a Internet, abrangendo milhões de domínios e endereços IP.
"O script recuperou uma lista de alvos potenciais de um bucket S3 de terceiros acessível publicamente, explorado pelos hackers", disseram os pesquisadores da Unit 42, Margaret Zimmermann, Sean Johnstone, William Gamazo e Nathaniel Quist.
"A lista de alvos potenciais que a função lambda maliciosa iterou continha um registro de domínios de vítimas. Para cada domínio da lista, o código executava uma solicitação cURL, tendo como alvo qualquer arquivo de variável de ambiente exposto naquele domínio (ou seja, https://<target>/.env)."
Se o domínio de destino hospedar um arquivo de ambiente exposto, as credenciais de texto não criptografado contidas no arquivo serão extraídas e armazenadas em uma pasta recém-criada em outro bucket público do AWS S3, controlado pelos hackers. O bucket já foi retirado do ar pela AWS.
Descobriu-se que a campanha de ataque destaca especificamente as instâncias em que os arquivos .env contêm credenciais do Mailgun, indicando um esforço por parte dos hackers para aproveitá-las para enviar e-mails de phishing de domínios legítimos e contornar as proteções de segurança.
A cadeia de infecção termina com os hackers exfiltrando e excluindo dados confidenciais do bucket S3 da vítima e fazendo o upload de uma nota de resgate, pedindo que ela entre em contato e pague um resgate para evitar a venda das informações na dark web.
As motivações financeiras do ataque também são evidentes nas tentativas fracassadas dos hackers de criar novos recursos do Elastic Cloud Compute (EC2) para mineração ilícita de criptomoedas.
No momento, não está claro quem está por trás da campanha, em parte devido ao uso de VPNs e da rede TOR para ocultar sua verdadeira origem, embora a Unidade 42 tenha dito que detectou dois endereços IP geolocalizados na Ucrânia e no Marrocos, como parte da função lambda e das atividades de exfiltração do S3, respectivamente.
"Os hackers por trás dessa campanha provavelmente aproveitaram técnicas de automação abrangentes para operar com sucesso e rapidez", disseram os pesquisadores. "Isso indica que esses grupos de hackers são habilidosos e conhecedores de processos e técnicas avançadas de arquitetura de nuvem."
Via - THN
Commenti