近日,一场大规模勒索活动利用可公开访问的环境变量文件(.env)入侵了多个组织,这些文件包含与云和社交媒体应用程序相关的凭据。
“在这次勒索活动中存在多种安全漏洞,包括暴露环境变量、使用长期凭证以及缺乏最小权限架构 。”Palo Alto Networks Unit 42 在一份报告中指出。
该活动的显著特点是在受感染组织的亚马逊网络服务(AWS)环境中设置了攻击基础设施,并将其作为跳板,扫描超过 2.3 亿个唯一目标的敏感数据。
据了解,该恶意活动以 11 万个域为目标,在 .env 文件中获取了超过 9 万个独特变量,其中 7000 个变量属于组织的云服务,1500 个变量与社交媒体账户相关联。
Unit 42 表示,这次活动攻击者成功对托管在云存储容器中的数据进行勒索。不过,攻击者并没有在勒索之前对数据进行加密,而是将数据提取出来,并将勒索信放在被入侵的云存储容器中。
这些攻击最引人注目的一点是,它并不依赖于云提供商服务中的安全漏洞或错误配置,而是源于不安全 Web 应用程序上的 .env 文件意外曝光,从而获得初始访问权限。
成功破坏云环境为广泛的发现和侦察步骤铺平了道路,目的是扩大他们的影响力,威胁行为者将 AWS 身份和访问管理(IAM)访问密钥武器化,以创建新角色并提升他们的权限。
具有管理权限的新 IAM 角色随后被用于创建新的 AWS Lambda 函数,以启动包含数百万个域名和 IP 地址的全网自动扫描操作。
Unit 42 的研究人员 Margaret Zimmermann、Sean Johnstone、William Gamazo 和 Nathaniel Quist 说:脚本从威胁行为者利用的可公开访问的第三方 S3 桶中检索到了潜在目标列表。恶意 lambda 函数迭代的潜在目标列表包含受害者域名的记录。对于列表中的每个域名,代码都会执行一个 cURL 请求,目标是该域名暴露的任何环境变量文件(即 https://<target>/.env)。”
如果目标域名托管了已暴露的环境文件,文件中包含的明文凭据就会被提取出来,并存储在另一个由威胁行为者控制的公共 AWS S3 存储桶中新建的文件夹中。目前,该存储桶已被 AWS 关闭。
研究人员发现,这场攻击活动特别针对包含 Mailgun 凭证的 .env 文件实例,表明攻击者试图利用它们从合法域名发送钓鱼邮件并绕过安全保护。
