近日，一場大規(guī)模勒索活動利用可公開訪問的環(huán)境變量文件（.env）入侵了多個組織，這些文件包含與云和社交媒體應(yīng)用程序相關(guān)的憑據(jù)。

“在這次勒索活動中存在多種安全漏洞，包括暴露環(huán)境變量、使用長期憑證以及缺乏最小權(quán)限架構(gòu) ?！盤alo Alto Networks Unit 42 在一份報告中指出。

該活動的顯著特點是在受感染組織的亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）環(huán)境中設(shè)置了攻擊基礎(chǔ)設(shè)施，并將其作為跳板，掃描超過 2.3 億個唯一目標(biāo)的敏感數(shù)據(jù)。

據(jù)了解，該惡意活動以 11 萬個域為目標(biāo)，在 .env 文件中獲取了超過 9 萬個獨特變量，其中 7000 個變量屬于組織的云服務(wù)，1500 個變量與社交媒體賬戶相關(guān)聯(lián)。

Unit 42 表示，這次活動攻擊者成功對托管在云存儲容器中的數(shù)據(jù)進(jìn)行勒索。不過，攻擊者并沒有在勒索之前對數(shù)據(jù)進(jìn)行加密，而是將數(shù)據(jù)提取出來，并將勒索信放在被入侵的云存儲容器中。

這些攻擊最引人注目的一點是，它并不依賴于云提供商服務(wù)中的安全漏洞或錯誤配置，而是源于不安全 Web 應(yīng)用程序上的 .env 文件意外曝光，從而獲得初始訪問權(quán)限。

成功破壞云環(huán)境為廣泛的發(fā)現(xiàn)和偵察步驟鋪平了道路，目的是擴(kuò)大他們的影響力，威脅行為者將 AWS 身份和訪問管理（IAM）訪問密鑰武器化，以創(chuàng)建新角色并提升他們的權(quán)限。

具有管理權(quán)限的新 IAM 角色隨后被用于創(chuàng)建新的 AWS Lambda 函數(shù)，以啟動包含數(shù)百萬個域名和 IP 地址的全網(wǎng)自動掃描操作。

Unit 42 的研究人員 Margaret Zimmermann、Sean Johnstone、William Gamazo 和 Nathaniel Quist 說："腳本從威脅行為者利用的可公開訪問的第三方 S3 桶中檢索到了潛在目標(biāo)列表。惡意 lambda 函數(shù)迭代的潛在目標(biāo)列表包含受害者域名的記錄。對于列表中的每個域名，代碼都會執(zhí)行一個 cURL 請求，目標(biāo)是該域名暴露的任何環(huán)境變量文件（即 https://<target>/.env）?！?/p>

如果目標(biāo)域名托管了已暴露的環(huán)境文件，文件中包含的明文憑據(jù)就會被提取出來，并存儲在另一個由威脅行為者控制的公共 AWS S3 存儲桶中新建的文件夾中。目前，該存儲桶已被 AWS 關(guān)閉。

研究人員發(fā)現(xiàn)，這場攻擊活動特別針對包含 Mailgun 憑證的 .env 文件實例，表明攻擊者試圖利用它們從合法域名發(fā)送釣魚郵件并繞過安全保護(hù)。

感染鏈的最后，威脅者會從受害者的 S3 存儲桶中提取并刪除敏感數(shù)據(jù)，并上傳一張勒索信，提醒受害者聯(lián)系并支付贖金，以避免敏感信息在在暗網(wǎng)上被出售。

威脅行為者試圖創(chuàng)建新的彈性云計算（EC2）資源用于非法加密貨幣挖礦，但以失敗告終，這也表明了攻擊的經(jīng)濟(jì)動機(jī)。

目前還不清楚誰是這場活動的幕后黑手，部分原因是使用了 VPN 和 TOR 網(wǎng)絡(luò)來掩蓋其真實來源，不過 Unit 42 表示，它檢測到兩個 IP 地址分別位于烏克蘭和摩洛哥，是 lambda 功能和 S3 提取活動的一部分。

研究人員強(qiáng)調(diào)："這次活動背后的攻擊者很可能利用了大量自動化技術(shù)來成功、快速地開展行動。這表明，這些威脅行為者在高級云架構(gòu)流程和技術(shù)方面既熟練又專業(yè)?！?/p>

參考來源：https://thehackernews.com/2024/08/attackers-exploit-public-env-files-to.html