Een grootschalige afpersingscampagne heeft verschillende organisaties gecompromitteerd door misbruik te maken van openbaar toegankelijke omgevingsvariabelenbestanden (.env) die inloggegevens bevatten die zijn gekoppeld aan cloud- en socialemediatoepassingen.
“Er zijn tijdens deze campagne meerdere beveiligingsfouten gemaakt, waaronder de volgende: het blootstellen van omgevingsvariabelen, het gebruiken van lang geldige inloggegevens en het ontbreken van een architectuur met minimale bevoegdheden”, aldus Unit 42 van Palo Alto Networks in een rapport van donderdag.
De campagne staat bekend om het feit dat de aanvalsinfrastructuur zich in de Amazon Web Services (AWS)-omgevingen van de geïnfecteerde organisaties bevindt en deze gebruikt als springplank voor het scannen van meer dan 230 miljoen unieke doelen op gevoelige gegevens.
Er zijn 110.000 domeinen aangevallen en de kwaadaardige activiteit zou meer dan 90.000 unieke variabelen in de .env-bestanden hebben buitgemaakt. Hiervan behoren er 7.000 tot de cloudservices van organisaties en zijn 1.500 variabelen gekoppeld aan accounts op sociale media.
“De campagne hield in dat aanvallers succesvol gegevens gijzelden die waren gehost in cloudopslagcontainers,” aldus Unit 42. “Het voorval hield niet in dat aanvallers de gegevens versleutelden vóór het gijzelen, maar dat ze de gegevens exfiltreerden en de losgeldnotitie in de gecompromitteerde cloudopslagcontainer plaatsten.”
Het meest opvallende aspect van de aanvallen is dat ze niet gebaseerd zijn op beveiligingslekken of verkeerde configuraties in de diensten van cloudproviders, maar dat ze voortkomen uit het onbedoeld blootstellen van .env-bestanden op onveilige webapplicaties om toegang te krijgen.
Een succesvolle inbreuk op een cloudomgeving maakt de weg vrij voor uitgebreide ontdekkings- en verkenningsstappen met als doel hun greep op de markt te vergroten. Kwaadwillende actoren gebruiken daarbij AWS Identity and Access Management (IAM)-toegangssleutels als wapen om nieuwe rollen te creëren en hun rechten te verhogen.
De nieuwe IAM-rol met beheerdersrechten wordt vervolgens gebruikt om nieuwe AWS Lambda-functies te maken om een geautomatiseerde internetbrede scanbewerking te starten die miljoenen domeinen en IP-adressen omvat.
“Het script haalde een lijst op met potentiële doelen uit een openbaar toegankelijke S3-bucket van derden die door de dreigingsactor werd misbruikt”, aldus Margaret Zimmermann, Sean Johnstone, William Gamazo en Nathaniel Quist, onderzoekers van Unit 42.
“De lijst met potentiële doelen waarover de kwaadaardige lambda-functie itereerde, bevatte een record van slachtofferdomeinen. Voor elk domein in de lijst voerde de code een cURL-aanvraag uit, gericht op alle omgevingsvariabelebestanden die op dat domein zijn blootgesteld (d.w.z. https://
Mocht het doeldomein een blootgesteld omgevingsbestand hosten, dan worden de cleartext-referenties in het bestand geëxtraheerd en opgeslagen in een nieuw aangemaakte map in een andere door een bedreigingsactor gecontroleerde openbare AWS S3-bucket. De bucket is inmiddels door AWS verwijderd.
Er is vastgesteld dat de aanvalscampagne zich specifiek richt op gevallen waarin de .env-bestanden Mailgun-inloggegevens bevatten. Dit wijst erop dat de aanvaller deze probeert te gebruiken om phishing-e-mails te versturen vanaf legitieme domeinen en zo de beveiligingsmaatregelen te omzeilen.
De infectieketen eindigt met de cybercrimineel die gevoelige gegevens uit de S3-bucket van het slachtoffer verwijdert en een losgeldbericht uploadt waarin de dader wordt aangespoord contact op te nemen en losgeld te betalen om te voorkomen dat de informatie op het dark web wordt verkocht.
De financiële motieven achter de aanval blijken ook uit de mislukte pogingen van de aanvaller om nieuwe Elastic Cloud Compute (EC2)-bronnen te creëren voor illegale cryptocurrency-mining.
Het is momenteel niet duidelijk wie er achter de campagne zit, deels vanwege het gebruik van VPN’s en het TOR-netwerk om de ware oorsprong te verbergen. Unit 42 zegt echter wel twee IP-adressen te hebben gedetecteerd die waren gegeolokaliseerd in Oekraïne en Marokko als onderdeel van respectievelijk de lambda-functie en S3-exfiltratieactiviteiten.
“De aanvallers achter deze campagne hebben waarschijnlijk uitgebreide automatiseringstechnieken gebruikt om succesvol en snel te opereren”, aldus de onderzoekers. “Dit geeft aan dat deze groepen van dreigingsactoren zowel vaardig als deskundig zijn in geavanceerde cloudarchitectuurprocessen en -technieken.”