Según un informe reciente de Palo Alto Networks Unit 42, se han detectado múltiples vulnerabilidades de seguridad durante una campaña maliciosa. Estos errores incluyen la exposición de variables de entorno, el uso de credenciales de larga duración y la falta de arquitectura de privilegios mínimos.
La campaña se destaca por establecer su infraestructura de ataque dentro de los entornos de Amazon Web Services (AWS) de las organizaciones infectadas. Utiliza estos entornos como base para escanear más de 230 millones de objetivos únicos en busca de datos sensibles.
Con 110,000 dominios como objetivo, se ha revelado que la actividad maliciosa ha logrado obtener más de 90,000 variables únicas en archivos .env, incluyendo 7,000 pertenecientes a servicios en la nube de organizaciones y 1,500 vinculados a cuentas de redes sociales.
Unit 42 informó que los atacantes lograron chantajear datos alojados en contenedores de almacenamiento en la nube. No hubo encriptación de datos antes del chantaje; en su lugar, extrajeron los datos y colocaron la nota de rescate en los contenedores de almacenamiento comprometidos.
Lo destacado de los ataques es que no se basan en vulnerabilidades de seguridad o configuraciones incorrectas en los servicios de los proveedores de la nube, sino que derivan de la exposición accidental de archivos .env en aplicaciones web no seguras para obtener acceso inicial.
La exitosa violación de un entorno en la nube allana el camino para extensos pasos de descubrimiento y reconocimiento para ampliar su presencia. Los actores de amenazas utilizan claves de acceso de AWS Identity and Access Management (IAM) para crear nuevos roles y escalar sus privilegios.
Posteriormente, utilizan el nuevo rol IAM con permisos administrativos para crear nuevas funciones de AWS Lambda y lanzar una operación de escaneo automatizado en todo internet, que contiene millones de dominios e IPs.
Los investigadores de Unit 42, Margaret Zimmermann, Sean Johnstone, William Gamazo y Nathaniel Quist, explicaron que «El script recuperó una lista de posibles objetivos de un bucket de tercero S3 accesible públicamente explotado por el actor de amenazas.»
Luego, la función lambda maliciosa recorrió la lista de posibles objetivos, encontrando un registro de dominios víctimas. Por cada dominio en la lista, el código realizó una solicitud cURL apuntando a cualquier archivo de variables de entorno expuestos en ese dominio.
Si el dominio objetivo albergaba un archivo de entorno expuesto, las credenciales en texto plano contenidas en el archivo se extraían y se almacenaban en una carpeta recién creada dentro de otro bucket de S3 de AWS controlado por un actor de amenazas. Este bucket ha sido eliminado por AWS.
La campaña de ataque se ha centrado específicamente en casos en los que los archivos .env contienen credenciales de Mailgun, lo que indica un intento de aprovecharlas para enviar correos electrónicos de phishing desde dominios legítimos y evadir protecciones de seguridad.
La cadena de infección termina con el actor de amenazas extrayendo y eliminando datos sensibles del bucket S3 de la víctima. Luego suben una nota de rescate que insta a contactar y pagar un rescate para evitar vender la información en la dark web.
Las motivaciones financieras del ataque también se evidencian en los intentos fallidos del actor de amenazas de crear nuevos recursos de Elastic Cloud Compute (EC2) para la minería ilegal de criptomonedas.
Actualmente no está claro quién está detrás de la campaña, en parte debido al uso de VPN y la red TOR para ocultar su verdadero origen. Aunque Unit 42 detectó dos direcciones IP geolocalizadas en Ucrania y Marruecos como parte de las actividades de la función lambda y la exfiltración de S3, respectivamente.
Los investigadores concluyen que «Los atacantes detrás de esta campaña probablemente aprovecharon técnicas de automatización extensas para operar con éxito y rapidez. Esto indica que estos grupos de actores de amenazas son hábiles y conocedores en procesos y técnicas avanzadas de arquitectura en la nube.»
Vía The Hacker News
