大规模的勒索活动通过利用可公开访问的环境变量文件 (.env) 来破坏各种组织,这些文件包含与云和社交媒体应用程序关联的凭据。“在这次活动过程中存在多个安全失误,包括以下内容:暴露环境变量,使用长期的凭据,以及缺乏最低权限架构,”Palo Alto Networks Unit 42在周四的一份报告中说。该活动以在受感染组织的 Amazon Web Services (AWS) 环境中设置其攻击基础设施并将其用作扫描超过 2.3 亿个独特目标以查找敏感数据的启动板而著称。据称,针对 110,000 个域,恶意活动已在 .env 文件中捕获了 90,000 多个唯一变量,其中 7,000 个属于组织的云服务,1,500 个变量与社交媒体帐户相关联。“该活动涉及攻击者成功勒索托管在云存储容器中的数据,”Unit 42说。“该事件不包括攻击者在勒索之前加密数据,而是他们泄露了数据并将赎金票据放入受感染的云存储容器中。”这些攻击最引人注目的方面是,它不依赖于云提供商服务中的安全漏洞或错误配置,而是源于在不安全的Web应用程序上意外暴露.env文件以获得初始访问权限。成功入侵云环境为广泛的发现和侦察步骤铺平了道路,旨在扩大其立足点,威胁行为者将 AWS 身份和访问管理 (IAM) 访问密钥武器化,以创建新角色并提升其权限。然后,使用具有管理权限的新 IAM 角色创建新的 AWS Lambda 函数,以启动包含数百万个域和 IP 地址的自动化 Internet 范围扫描操作。“该脚本从威胁参与者利用的可公开访问的第三方 S3 存储桶中检索了潜在目标列表,”Unit 42 研究人员 Margaret Zimmermann、Sean Johnstone、William Gamazo 和 Nathaniel Quist 说。“恶意 lambda 函数迭代的潜在目标列表包含受害者域的记录。对于列表中的每个域,代码都执行了一个 cURL 请求,目标是在该域中公开的任何环境变量文件(即 https://<target>/.env)。如果目标域托管暴露的环境文件,则该文件中包含的明文凭证将被提取并存储在另一个威胁参与者控制的公共 AWS S3 存储桶中新创建的文件夹中。此后,该存储桶已被 AWS 关闭。已发现该攻击活动专门挑出 .env 文件包含 Mailgun 凭据的情况,这表明攻击者试图利用它们从合法域发送网络钓鱼电子邮件并绕过安全保护。感染链以威胁行为者从受害者的 S3 存储桶中泄露和删除敏感数据,并上传赎金票据结束,敦促他们联系并支付赎金以避免在暗网上出售信息。攻击的财务动机也体现在威胁行为者为非法加密货币挖掘创建新的弹性云计算 (EC2) 资源的失败尝试中。目前尚不清楚谁是该活动的幕后黑手,部分原因是使用 VPN 和 TOR 网络来隐藏其真实来源,尽管 Unit 42 表示它检测到两个 IP 地址分别位于乌克兰和摩洛哥,作为 lambda 函数和 S3 渗透活动的一部分。研究人员说:“这场活动背后的攻击者可能利用了广泛的自动化技术来成功和快速地运作。“这表明这些威胁行为者团体在先进的云架构流程和技术方面既熟练又知识渊博。”
