Търсене
Close this search box.

Изследователи по сигурността от Palo Alto Networks са забелязали заплаха, която изнудва организациите, след като е компрометирала техните облачни среди с помощта на непреднамерено изложени променливи на средата.

Като част от мащабната кампания за изнудване Palo Alto Networks предупреди, че нападателите са се насочили към 110 000 домейна чрез изложени на риск .env файлове, съдържащи чувствителна информация, които са били съхранявани в незащитени уеб приложения и неправилно конфигурирани сървъри.

Тези .env файлове позволяват на организациите да определят променливи за конфигурацията на своите уеб приложения и често включват твърдо кодирани ключове за достъп до облачни услуги, SaaS API ключове и информация за вход в бази данни.

Неспособността на организациите жертви да защитят правилно тези файлове е позволила на извършителя на заплахата да извлече ключовете за достъп до AWS Identity and Access Management (IAM) и да ги използва за достъп до хостинг облачните среди.

Palo Alto Networks идентифицира над 90 000 уникални променливи в изложените .env файлове, включително 7000, принадлежащи на облачните услуги на организациите, и 1500 за акаунти в социалните медии. Удостоверенията за локални приложения също са били разкрити.

Комбинация от фактори допринесе за успеха на тези атаки, включително неправилни конфигурации, довели до излагане на променливите на средата, използване на дълготрайни пълномощия и липса на политики за най-малки привилегии.

Забелязано е, че  заплахата разчита на инфраструктура, базирана на Tor, за разузнаване и първоначален достъп, използва VPN мрежи за странично придвижване и ексфилтрация на данни и използва виртуален частен сървър (VPS) за други операции.

„Кампанията включваше нападатели, които успешно криптираха данни, хоствани в контейнери за съхранение в облака. Акцията не включваше криптиране на данните от страна на нападателите при проникването, а по-скоро те ексфилтрираха данните и поставиха бележката за откупа в компрометирания контейнер за съхранение в облака“, заяви изследователската фирма.

Нападателите вероятно са разчитали на автоматизация, за да действат бързо и успешно, и са използвали само случайно изложени .env файлове, вместо уязвимости или неправилни конфигурации в услугите на доставчиците на облачни услуги.

Palo Alto Networks е наблюдавала как хакерите сканират и идентифицират изложените .env файлове и извършват различни API повиквания за откриване, за да научат повече за услуги като IAM, Security Token Service (STS), Simple Storage Service (S3) и Simple Email Service (SES).

„Установихме, че тези услуги са били обект на атаки от страна на  заплахи, докато те са искали да разширят контрола на операциите си върху облачната среда на организацията“, добави компанията.

Беше забелязано, че нападателите използват ролята IAM с първоначален достъп, за да създават нови IAM ресурси с неограничен достъп и да увеличават привилегиите в облачните среди на жертвите. Те също така са се опитали да създадат нови ресурси, които да използват за криптодобив, но не са успели.

Те обаче успяха да се насочат към услугата AWS Lambda и да създадат злонамерена lambda функция, която да извърши сканиране в интернет на милиони домейни и IP адреси, извличайки списък с потенциални цели от публично достъпни S3 бъкети на трети страни, хоствани в компрометирани облачни среди. „Идентифицирахме повече от 230 милиона уникални цели, които  заплахата сканираше за неправилно конфигурирани и изложени на риск файлове на средата“, заявиха от компанията.

Операцията по сканиране се е насочвала към изложени на риск файлове с променливи на средата, извличала ги е, извличала е съдържащите се в тези файлове пълномощни с ясен текст и ги е съхранявала в контролирана от  заплахата публичен бъкет S3.

Анализът показа, че „извършителят е могъл да копира изложените .env файлове на поне 110 000 домейна“, добави Palo Alto Networks.

За да се предпазят от този тип атаки, организациите се съветват да използват временни пълномощия, които ограничават времето, през което нападателят има достъп до компрометиран акаунт, да прилагат принципа на най-малките привилегии за IAM ресурсите, да забраняват неизползваните в рамките на AWS акаунти и да разрешават регистрирането и наблюдението на ресурсите.

 

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
10 октомври 2024

Атаката на American Water подновява фокуса върх...

Кибератака продължава да засяга най-голямата регулирана компания за...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!