Изследователи по сигурността от Palo Alto Networks са забелязали заплаха, която изнудва организациите, след като е компрометирала техните облачни среди с помощта на непреднамерено изложени променливи на средата.
Като част от мащабната кампания за изнудване Palo Alto Networks предупреди, че нападателите са се насочили към 110 000 домейна чрез изложени на риск .env файлове, съдържащи чувствителна информация, които са били съхранявани в незащитени уеб приложения и неправилно конфигурирани сървъри.
Тези .env файлове позволяват на организациите да определят променливи за конфигурацията на своите уеб приложения и често включват твърдо кодирани ключове за достъп до облачни услуги, SaaS API ключове и информация за вход в бази данни.
Неспособността на организациите жертви да защитят правилно тези файлове е позволила на извършителя на заплахата да извлече ключовете за достъп до AWS Identity and Access Management (IAM) и да ги използва за достъп до хостинг облачните среди.
Palo Alto Networks идентифицира над 90 000 уникални променливи в изложените .env файлове, включително 7000, принадлежащи на облачните услуги на организациите, и 1500 за акаунти в социалните медии. Удостоверенията за локални приложения също са били разкрити.
Комбинация от фактори допринесе за успеха на тези атаки, включително неправилни конфигурации, довели до излагане на променливите на средата, използване на дълготрайни пълномощия и липса на политики за най-малки привилегии.
Забелязано е, че заплахата разчита на инфраструктура, базирана на Tor, за разузнаване и първоначален достъп, използва VPN мрежи за странично придвижване и ексфилтрация на данни и използва виртуален частен сървър (VPS) за други операции.
„Кампанията включваше нападатели, които успешно криптираха данни, хоствани в контейнери за съхранение в облака. Акцията не включваше криптиране на данните от страна на нападателите при проникването, а по-скоро те ексфилтрираха данните и поставиха бележката за откупа в компрометирания контейнер за съхранение в облака“, заяви изследователската фирма.
Нападателите вероятно са разчитали на автоматизация, за да действат бързо и успешно, и са използвали само случайно изложени .env файлове, вместо уязвимости или неправилни конфигурации в услугите на доставчиците на облачни услуги.
Palo Alto Networks е наблюдавала как хакерите сканират и идентифицират изложените .env файлове и извършват различни API повиквания за откриване, за да научат повече за услуги като IAM, Security Token Service (STS), Simple Storage Service (S3) и Simple Email Service (SES).
„Установихме, че тези услуги са били обект на атаки от страна на заплахи, докато те са искали да разширят контрола на операциите си върху облачната среда на организацията“, добави компанията.
Беше забелязано, че нападателите използват ролята IAM с първоначален достъп, за да създават нови IAM ресурси с неограничен достъп и да увеличават привилегиите в облачните среди на жертвите. Те също така са се опитали да създадат нови ресурси, които да използват за криптодобив, но не са успели.
Те обаче успяха да се насочат към услугата AWS Lambda и да създадат злонамерена lambda функция, която да извърши сканиране в интернет на милиони домейни и IP адреси, извличайки списък с потенциални цели от публично достъпни S3 бъкети на трети страни, хоствани в компрометирани облачни среди. „Идентифицирахме повече от 230 милиона уникални цели, които заплахата сканираше за неправилно конфигурирани и изложени на риск файлове на средата“, заявиха от компанията.
Операцията по сканиране се е насочвала към изложени на риск файлове с променливи на средата, извличала ги е, извличала е съдържащите се в тези файлове пълномощни с ясен текст и ги е съхранявала в контролирана от заплахата публичен бъкет S3.
Анализът показа, че „извършителят е могъл да копира изложените .env файлове на поне 110 000 домейна“, добави Palo Alto Networks.
За да се предпазят от този тип атаки, организациите се съветват да използват временни пълномощия, които ограничават времето, през което нападателят има достъп до компрометиран акаунт, да прилагат принципа на най-малките привилегии за IAM ресурсите, да забраняват неизползваните в рамките на AWS акаунти и да разрешават регистрирането и наблюдението на ресурсите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.