Kẻ tấn công khai thác tệp .env công khai để xâm phạm tài khoản đám mây tống tiền

Tác giả ChatGPT, T.Tám 17, 2024, 03:57:06 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Một chiến dịch tống tiền quy mô lớn đã xâm phạm nhiều tổ chức khác nhau bằng cách lợi dụng các tệp biến môi trường có thể truy cập công khai (.env) có chứa thông tin xác thực liên quan đến các ứng dụng đám mây và truyền thông xã hội.

Đơn vị 42 của Palo Alto Networks cho biết trong một báo cáo hôm thứ Năm: "Nhiều sai sót về bảo mật đã xuất hiện trong quá trình thực hiện chiến dịch này, bao gồm: Làm lộ các biến môi trường, sử dụng thông tin xác thực lâu dài và thiếu kiến trúc đặc quyền tối thiểu".


Chiến dịch này đáng chú ý vì thiết lập cơ sở hạ tầng tấn công trong môi trường Amazon Web Services (AWS) của các tổ chức bị nhiễm và sử dụng chúng làm bệ phóng để quét hơn 230 triệu mục tiêu duy nhất để tìm dữ liệu nhạy cảm.

Với 110.000 tên miền được nhắm mục tiêu, hoạt động độc hại được cho là đã thu được hơn 90.000 biến duy nhất trong tệp.env, trong đó 7.000 thuộc về dịch vụ đám mây của tổ chức và 1.500 biến được liên kết với tài khoản truyền thông xã hội.

Đơn vị 42 cho biết: "Chiến dịch này liên quan đến những kẻ tấn công đòi tiền chuộc thành công dữ liệu được lưu trữ trong các vùng lưu trữ đám mây". "Sự kiện này không liên quan đến việc những kẻ tấn công mã hóa dữ liệu trước khi đòi tiền chuộc mà thay vào đó, chúng đã lấy cắp dữ liệu và đặt thông báo đòi tiền chuộc vào vùng lưu trữ đám mây bị xâm nhập."

Khía cạnh nổi bật nhất của các cuộc tấn công là nó không dựa vào các lỗ hổng bảo mật hoặc cấu hình sai trong dịch vụ của nhà cung cấp đám mây mà xuất phát từ việc vô tình để lộ các tệp.env trên các ứng dụng web không bảo mật để có được quyền truy cập ban đầu.

Việc vi phạm thành công môi trường đám mây sẽ mở đường cho các bước khám phá và trinh sát sâu rộng nhằm mở rộng chỗ đứng của chúng, trong đó các tác nhân đe dọa sử dụng khóa truy cập AWS Identity and Access Management (IAM) để tạo vai trò mới và nâng cao đặc quyền của chúng.

Sau đó, vai trò IAM mới có quyền quản trị sẽ được sử dụng để tạo các hàm AWS Lambda mới nhằm bắt đầu hoạt động quét tự động trên toàn Internet có chứa hàng triệu miền và địa chỉ IP.

Các nhà nghiên cứu của Đơn vị 42, Margaret Zimmermann, Sean Johnstone, William Gamazo và Nathaniel Quist cho biết: "Kịch bản đã truy xuất danh sách các mục tiêu tiềm năng từ nhóm S3 của bên thứ ba có thể truy cập công khai do kẻ đe dọa khai thác".

"Danh sách các mục tiêu tiềm năng mà hàm lambda độc hại lặp lại có chứa bản ghi tên miền nạn nhân. Đối với mỗi tên miền trong danh sách, mã thực hiện yêu cầu cURL, nhắm mục tiêu bất kỳ tệp biến môi trường nào được hiển thị tại tên miền đó, (ví dụ: https:// <target>/.env)."

Nếu miền mục tiêu lưu trữ tệp môi trường bị lộ, thông tin xác thực văn bản rõ ràng có trong tệp sẽ được trích xuất và lưu trữ trong thư mục mới tạo trong một nhóm AWS S3 công khai do tác nhân đe dọa kiểm soát. Nhóm này đã bị AWS gỡ xuống.

Chiến dịch tấn công đã được phát hiện là nhắm mục tiêu cụ thể vào các trường hợp trong đó tệp.env chứa thông tin xác thực Mailgun, cho thấy nỗ lực của kẻ thù nhằm lợi dụng chúng để gửi email lừa đảo từ các miền hợp pháp và vượt qua các biện pháp bảo vệ an ninh.

Chuỗi lây nhiễm kết thúc bằng việc kẻ đe dọa lấy và xóa dữ liệu nhạy cảm khỏi nhóm S3 của nạn nhân, đồng thời tải lên thông báo đòi tiền chuộc kêu gọi họ liên hệ và trả tiền chuộc để tránh bán thông tin trên web đen.

Động cơ tài chính của cuộc tấn công cũng được thể hiện rõ qua những nỗ lực thất bại của kẻ đe dọa nhằm tạo ra các tài nguyên Điện toán đám mây đàn hồi (EC2) mới để khai thác tiền điện tử bất hợp pháp.

Hiện vẫn chưa rõ ai đứng đằng sau chiến dịch này, một phần do việc sử dụng VPN và mạng TOR để che giấu nguồn gốc thực sự của chúng, mặc dù Đơn vị 42 cho biết họ đã phát hiện hai địa chỉ IP được định vị địa lý ở Ukraine và Maroc như một phần của chức năng lambda. và hoạt động lọc S3 tương ứng.

Các nhà nghiên cứu cho biết: "Những kẻ tấn công đằng sau chiến dịch này có thể đã tận dụng các kỹ thuật tự động hóa rộng rãi để hoạt động thành công và nhanh chóng". "Điều này cho thấy các nhóm tác nhân đe dọa này đều có tay nghề cao và hiểu biết về các quy trình và kỹ thuật kiến trúc đám mây tiên tiến."