16 de agosto de 2024Ravie LakshmananSeguridad en la nube / Seguridad de aplicaciones Una campaña de extorsión a gran escala ha comprometido a varias organizaciones al aprovecharse de archivos de variables de entorno de acceso público (.env) que contienen credenciales asociadas con aplicaciones de redes sociales y en la nube. «Se produjeron múltiples errores de seguridad en el transcurso de esta campaña, incluidos los siguientes: exposición de variables de entorno, uso de credenciales de larga duración y ausencia de una arquitectura de mínimos privilegios», dijo la Unidad 42 de Palo Alto Networks en un informe del jueves. La campaña se destaca por establecer su infraestructura de ataque dentro de los entornos de Amazon Web Services (AWS) de las organizaciones infectadas y usarlos como plataforma de lanzamiento para escanear más de 230 millones de objetivos únicos en busca de datos confidenciales. Con 110.000 dominios atacados, se dice que la actividad maliciosa ha obtenido más de 90.000 variables únicas en los archivos .env, de las cuales 7.000 pertenecían a los servicios en la nube de las organizaciones y 1.500 variables están vinculadas a cuentas de redes sociales. «La campaña implicó que los atacantes consiguieran rescatar con éxito los datos alojados en contenedores de almacenamiento en la nube», dijo Unit 42. «El evento no incluyó a los atacantes cifrando los datos antes del rescate, sino que extrajeron los datos y colocaron la nota de rescate en el contenedor de almacenamiento en la nube comprometido». El aspecto más sorprendente de los ataques es que no se basa en vulnerabilidades de seguridad o configuraciones incorrectas en los servicios de los proveedores de la nube, sino que se deriva de la exposición accidental de archivos .env en aplicaciones web no seguras para obtener acceso inicial. Una vulneración exitosa de un entorno de nube allana el camino para pasos de descubrimiento y reconocimiento extensos con el objetivo de ampliar su presencia, con los actores de amenazas utilizando claves de acceso de AWS Identity and Access Management (IAM) para crear nuevos roles y aumentar sus privilegios. El nuevo rol de IAM con permisos administrativos se utiliza luego para crear nuevas funciones de AWS Lambda para iniciar una operación de escaneo automatizado en Internet que contiene millones de dominios y direcciones IP. «El script recuperó una lista de objetivos potenciales de un bucket S3 de terceros de acceso público explotado por el actor de la amenaza», dijeron los investigadores de Unit 42 Margaret Zimmermann, Sean Johnstone, William Gamazo y Nathaniel Quist. «La lista de objetivos potenciales sobre los que iteró la función lambda maliciosa contenía un registro de dominios de víctimas. Para cada dominio de la lista, el código realizó una solicitud cURL, apuntando a cualquier archivo de variable de entorno expuesto en ese dominio (es decir, https:///.env).» Si el dominio de destino aloja un archivo de entorno expuesto, las credenciales de texto sin formato contenidas en el archivo se extraen y almacenan en una carpeta recién creada dentro de otro bucket público de AWS S3 controlado por el actor de amenazas. Desde entonces, AWS ha eliminado el bucket. Se ha descubierto que la campaña de ataque selecciona específicamente instancias en las que los archivos .env contienen credenciales de Mailgun, lo que indica un esfuerzo por parte del adversario para aprovecharlos para enviar correos electrónicos de phishing desde dominios legítimos y eludir las protecciones de seguridad. La cadena de infección termina con el actor de amenazas exfiltrando y eliminando datos confidenciales del bucket S3 de la víctima, y ​​cargando una nota de rescate que los insta a contactar y pagar un rescate para evitar vender la información en la red oscura. Las motivaciones financieras del ataque también son evidentes en los intentos fallidos del actor de amenazas de crear nuevos recursos de Elastic Cloud Compute (EC2) para la minería ilícita de criptomonedas. Actualmente no está claro quién está detrás de la campaña, en parte debido al uso de VPN y la red TOR para ocultar su verdadero origen, aunque Unit 42 dijo que detectó dos Direcciones IP que fueron geolocalizadas en Ucrania y Marruecos como parte de la función lambda y las actividades de exfiltración de S3, respectivamente. «Los atacantes detrás de esta campaña probablemente aprovecharon técnicas de automatización extensivas para operar con éxito y rapidez», dijeron los investigadores. «Esto indica que estos grupos de actores de amenazas son hábiles y tienen conocimientos en técnicas y procesos arquitectónicos avanzados de la nube». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.