Großangelegte Angriffskampagne nutzt öffentliche .env-Dateien zum Eindringen in Cloud- und Social-Media-Konten

Titel: Angreifer nutzen öffentliche .env-Dateien aus, um Cloud- und Social-Media-Konten zu kompromittieren

Eine groß angelegte Erpressungskampagne hat verschiedene Organisationen kompromittiert, indem sie öffentlich zugängliche Umgebungsvariablen-Dateien (.env) ausnutzt, die Anmeldeinformationen von Cloud- und Social-Media-Anwendungen enthalten.

„Im Verlauf dieser Kampagne waren mehrere Sicherheitsfehler vorhanden, darunter das Offenlegen von Umgebungsvariablen, die Verwendung von langfristigen Anmeldeinformationen und das Fehlen einer Architektur mit minimalen Rechten“, sagte Palo Alto Networks Unit 42 in einem Bericht vom Donnerstag.

Die Kampagne ist bemerkenswert, weil sie ihre Angriffsinfrastruktur in den infizierten Amazon Web Services (AWS)-Umgebungen der Organisationen eingerichtet hat und diese als Ausgangspunkt für das Scannen von mehr als 230 Millionen einzigartigen Zielen für sensible Daten genutzt hat.

Mit 110.000 angegriffenen Domains soll die bösartige Aktivität über 90.000 einzigartige Variablen in den .env-Dateien erbeutet haben, von denen 7.000 zu den Cloud-Diensten der Organisationen gehörten und 1.500 Variablen mit Social-Media-Konten verknüpft sind.

„Die Kampagne umfasste Angreifer, die erfolgreich Daten in Cloud-Speichercontainern erpressten“, sagte Unit 42. „Das Ereignis beinhaltete nicht, dass die Angreifer die Daten vor der Erpressung verschlüsselten, sondern sie exfiltrierten die Daten und platzierten die Erpressungsnotiz im kompromittierten Cloud-Speichercontainer.“

Der bemerkenswerteste Aspekt der Angriffe ist, dass sie nicht auf Sicherheitslücken oder Fehlkonfigurationen in den Cloud-Diensten der Anbieter beruhen, sondern vielmehr auf der versehentlichen Offenlegung von .env-Dateien auf ungesicherten Webanwendungen, um den Erstzugriff zu erlangen.

Ein erfolgreicher Einbruch in eine Cloud-Umgebung ebnet den Weg für umfangreiche Entdeckungs- und Aufklärungsschritte mit dem Ziel, ihren Fußabdruck zu erweitern, wobei die Angreifer AWS Identity and Access Management (IAM)-Zugriffsschlüssel waffenfähig machen, um neue Rollen zu erstellen und ihre Rechte zu eskalieren.

Die neue IAM-Rolle mit administrativen Berechtigungen wird dann verwendet, um neue AWS Lambda-Funktionen zu erstellen, um eine automatisierte internetweite Scanning-Operation mit Millionen von Domains und IP-Adressen zu initiieren.

„Das Skript rief eine Liste potenzieller Ziele aus einem öffentlich zugänglichen S3-Bucket eines Drittanbieters ab, der vom Angreifer ausgenutzt wurde“, sagten die Unit 42-Forscher Margaret Zimmermann, Sean Johnstone, William Gamazo und Nathaniel Quist.

„Die Liste der potenziellen Ziele, über die die bösartige Lambda-Funktion iterierte, enthielt einen Datensatz von Opferdomänen. Für jede Domäne in der Liste führte der Code eine cURL-Anfrage durch, die auf eventuell auf dieser Domäne exponierte Umgebungsvariablen-Dateien abzielte (d. h. https:///.env).“

Sollte die Ziel-Domäne eine exponierte Umgebungsdatei hosten, werden die Klartext-Anmeldeinformationen, die sich in der Datei befinden, extrahiert und in einem neu erstellten Ordner in einem anderen öffentlich zugänglichen AWS S3-Bucket gespeichert, der von einem anderen Angreifer kontrolliert wird. Der Bucket wurde inzwischen von AWS heruntergenommen.

Die Angriffskampagne hat sich speziell auf Fälle konzentriert, in denen die .env-Dateien Mailgun-Anmeldeinformationen enthalten, was auf einen Versuch des Gegners hinweist, diese für das Versenden von Phishing-E-Mails von legitimen Domänen zu nutzen und Sicherheitsschutzmaßnahmen zu umgehen.

Die Infektionskette endet damit, dass der Angreifer sensible Daten aus dem S3-Bucket des Opfers exfiltriert und löscht und eine Erpressungsnotiz hochlädt, die sie auffordert, ein Lösegeld zu zahlen, um zu verhindern, dass die Informationen im Darknet verkauft werden.

Die finanziellen Motivationen des Angriffs sind auch in den gescheiterten Versuchen des Angreifers ersichtlich, neue Elastic Cloud Compute (EC2)-Ressourcen für illegales Kryptowährungsming zu erstellen.

Es ist derzeit nicht klar, wer hinter der Kampagne steckt, auch teilweise aufgrund der Verwendung von VPNs und des TOR-Netzwerks, um ihre wahre Herkunft zu verbergen, obwohl Unit 42 sagte, dass es zwei IP-Adressen entdeckt hat, die als Teil der Lambda-Funktion und der S3-Exfiltrationsaktivitäten in der Ukraine und Marokko geolokalisiert wurden.

„Die Angreifer hinter dieser Kampagne haben wahrscheinlich umfangreiche Automatisierungstechniken genutzt, um erfolgreich und schnell zu agieren“, sagten die Forscher. „Dies deutet darauf hin, dass diese Bedrohungsakteurgruppen sowohl geschickt als auch sachkundig in fortgeschrittenen Cloud-Architekturprozessen und -techniken sind.“

Quelle: https://ift.tt/7biMlfj

Trending Posts

Über uns

MyCubeServer – Ihr vertrauenswürdiger Partner für fortschrittliche Cloud-Lösungen. Wir bieten maßgeschneiderte IT-Services und Datenschutz, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.”

“Bei MyCubeServer steht Innovation im Mittelpunkt. Unsere Expertise in Cloud-Technologie und Cybersicherheit macht uns zum perfekten Begleiter für Ihre digitale Transformation.”

“MyCubeServer – Wir gestalten die Zukunft Ihrer IT-Landschaft. Verlassen Sie sich auf unsere Erfahrung und modernste Lösungen für Ihre Unternehmensanforderungen.

Folge uns

-Weg von alten Schubladen-

Deine Chance -

Angesagtes

Newsletter

Kategorien

Edit Template

Produkte & Lösungen

SkySphere Cloud
SkySphere Connect
CubeSecurity
Support & Services

© 2023 MyCubeServer. Alle Rechte vorbehalten.
Datenschutzrichtlinien | AGB´sNutzungsbedingungen | Impressum