Uma campanha de extorsão em larga escala comprometeu várias organizações ao tirar vantagem de arquivos de variáveis de ambiente acessíveis publicamente (.env) que contêm credenciais associadas a aplicativos de nuvem e mídia social.
“Vários erros de segurança estavam presentes no decorrer desta campanha, incluindo os seguintes: exposição de variáveis de ambiente, uso de credenciais de longa duração e ausência de arquitetura de privilégios mínimos”, disse a Unidade 42 da Palo Alto Networks em um relatório de quinta-feira.
A campanha é notável por definir sua infraestrutura de ataque dentro dos ambientes Amazon Net Companies (AWS) das organizações infectadas e usá-los como plataforma de lançamento para escanear mais de 230 milhões de alvos exclusivos em busca de dados confidenciais.
Com 110.000 domínios visados, a atividade maliciosa teria capturado mais de 90.000 variáveis exclusivas nos arquivos .env, das quais 7.000 pertenciam aos serviços de nuvem das organizações e 1.500 variáveis estão vinculadas a contas de mídia social.
“A campanha envolveu invasores resgatando com sucesso dados hospedados em contêineres de armazenamento em nuvem”, disse a Unit 42. “O evento não incluiu invasores criptografando os dados antes do resgate, mas eles exfiltraram os dados e colocaram a nota de resgate no contêiner de armazenamento em nuvem comprometido.”
O aspecto mais impressionante dos ataques é que eles não dependem de vulnerabilidades de segurança ou configurações incorretas nos serviços dos provedores de nuvem, mas sim da exposição acidental de arquivos .env em aplicativos da net não seguros para obter acesso inicial.
Uma violação bem-sucedida de um ambiente de nuvem abre caminho para extensas etapas de descoberta e reconhecimento com o objetivo de ampliar sua presença, com os agentes de ameaças usando chaves de acesso do AWS Identification and Entry Administration (IAM) como arma para criar novas funções e aumentar seus privilégios.
A nova função do IAM com permissões administrativas é então usada para criar novas funções do AWS Lambda para iniciar uma operação de varredura automatizada em toda a Web contendo milhões de domínios e endereços IP.
“O script recuperou uma lista de alvos potenciais de um bucket S3 de terceiros de acesso público explorado pelo agente da ameaça”, disseram os pesquisadores da Unidade 42 Margaret Zimmermann, Sean Johnstone, William Gamazo e Nathaniel Quist.
“A lista de alvos potenciais sobre os quais a função lambda maliciosa iterou continha um registro de domínios de vítimas. Para cada domínio na lista, o código executou uma solicitação cURL, visando quaisquer arquivos de variáveis de ambiente expostos naquele domínio (por exemplo, https://
Caso o domínio de destino hospede um arquivo de ambiente exposto, as credenciais de texto simples contidas no arquivo são extraídas e armazenadas em uma pasta recém-criada dentro de outro bucket público AWS S3 controlado por um agente de ameaça. O bucket foi retirado do ar pela AWS.
Foi descoberto que a campanha de ataque destaca especificamente instâncias em que os arquivos .env contêm credenciais do Mailgun, indicando um esforço por parte do adversário para utilizá-los para enviar e-mails de phishing de domínios legítimos e ignorar proteções de segurança.
A cadeia de infecção termina com o agente da ameaça extraindo e excluindo dados confidenciais do bucket S3 da vítima e enviando uma nota de resgate que os incentiva a entrar em contato e pagar um resgate para evitar vender as informações na darkish net.
As motivações financeiras do ataque também são evidentes nas tentativas frustradas do agente da ameaça de criar novos recursos de Elastic Cloud Compute (EC2) para mineração ilícita de criptomoedas.
Atualmente, não está claro quem está por trás da campanha, em parte devido ao uso de VPNs e da rede TOR para ocultar sua verdadeira origem, embora a Unidade 42 tenha dito que detectou dois endereços IP que foram geolocalizados na Ucrânia e Marrocos como parte da função lambda e atividades de exfiltração S3, respectivamente.
“Os atacantes por trás dessa campanha provavelmente alavancaram técnicas de automação extensivas para operar com sucesso e rapidez”, disseram os pesquisadores. “Isso indica que esses grupos de agentes de ameaças são habilidosos e conhecedores de processos e técnicas avançadas de arquitetura de nuvem.”
