Hackers exploram arquivos .env públicos
19 de Agosto de 2024

Uma ampla campanha de extorsão comprometeu diversas organizações ao aproveitar arquivos de variáveis de ambiente acessíveis publicamente (.env) que contêm credenciais associadas a aplicativos de nuvem e mídias sociais.

"Diversos erros de segurança estiveram presentes no decorrer desta campanha, incluindo: exposição de variáveis de ambiente, uso de credenciais de longa duração e ausência de arquitetura de menor privilégio", disse a Palo Alto Networks Unit 42 em um relatório de quinta-feira.

A campanha é notável por estabelecer sua infraestrutura de ataque dentro dos ambientes Amazon Web Services (AWS) das organizações infectadas e usá-los como plataforma de lançamento para escanear mais de 230 milhões de alvos únicos em busca de dados sensíveis.

Com 110.000 domínios visados, a atividade maliciosa teria obtido mais de 90.000 variáveis únicas nos arquivos .env, dos quais 7.000 pertenciam aos serviços de nuvem das organizações e 1.500 variáveis estão vinculadas a contas de mídias sociais.

"A campanha envolveu atacantes que resgataram com sucesso dados hospedados dentro de contêineres de armazenamento na nuvem", disse a Unit 42.

O evento não incluiu criptografia dos dados antes do resgate, mas sim a exfiltração dos dados e a colocação da nota de resgate no contêiner de armazenamento na nuvem comprometido.

O aspecto mais marcante dos ataques é que eles não dependem de vulnerabilidades de segurança ou má configurações nos serviços dos provedores de nuvem, mas decorrem da exposição acidental de arquivos .env em aplicações web desprotegidas para ganhar acesso inicial.

Uma violação bem-sucedida de um ambiente na nuvem abre caminho para extensas etapas de descoberta e reconhecimento com o objetivo de ampliar sua presença, com os atores de ameaças se aproveitando das chaves de acesso AWS Identity and Access Management (IAM) para criar novos papéis e escalar seus privilégios.

O novo papel IAM com permissões administrativas é então usado para criar novas funções AWS Lambda para iniciar uma operação automatizada de escaneamento em toda a internet contendo milhões de domínios e endereços IP.

"O script recuperou uma lista de alvos potenciais de um bucket S3 de terceiros publicamente acessível explorado pelo ator de ameaça", disseram os pesquisadores da Unit 42, Margaret Zimmermann, Sean Johnstone, William Gamazo e Nathaniel Quist.

"A lista de alvos potenciais que a função lambda maliciosa iterou continha um registro de domínios vítimas. Para cada domínio na lista, o código realizava uma solicitação cURL, direcionada a quaisquer arquivos de variáveis de ambiente expostos naquele domínio, (ou seja, https://<alvo>/.env)."

Caso o domínio alvo hospede um arquivo de variável de ambiente exposto, as credenciais em texto claro contidas no arquivo são extraídas e armazenadas em uma nova pasta dentro de outro bucket AWS S3 controlado pelo ator de ameaça. O bucket desde então foi retirado do ar pela AWS.

A campanha de ataque foi encontrada especificamente visando instâncias onde os arquivos .env contêm credenciais do Mailgun, indicando um esforço da parte do adversário para utilizá-las no envio de e-mails de phishing de domínios legítimos e burlar proteções de segurança.

A cadeia de infecção termina com o ator de ameaça exfiltrando e deletando dados sensíveis do bucket S3 da vítima, e fazendo o upload de uma nota de resgate que os insta a entrar em contato e pagar um resgate para evitar a venda da informação na dark web.

As motivações financeiras do ataque também são evidentes nas tentativas fracassadas do ator de ameaça de criar novos recursos do Elastic Cloud Compute (EC2) para mineração ilícita de criptomoedas.

Atualmente não está claro quem está por trás da campanha, em parte devido ao uso de VPNs e da rede TOR para ocultar sua verdadeira origem, embora a Unit 42 tenha dito que detectou dois endereços IP que foram geolocalizados na Ucrânia e Marrocos como parte da função lambda e das atividades de exfiltração do S3, respectivamente.

"Os atacantes por trás desta campanha provavelmente utilizaram técnicas extensivas de automação para operar com sucesso e rapidez", disseram os pesquisadores.

Isso indica que esses grupos de atores de ameaças são habilidosos e têm conhecimento em processos e técnicas arquitetônicas avançadas de nuvem.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...