攻击者在勒索活动中利用公开的 .env 文件入侵云账户

近日
，攻击公开一场大规模勒索活动利用可公开访问的索活环境变量文件（.env）入侵了多个组织，这些文件包含与云和社交媒体应用程序相关的动中的凭据 。

“在这次勒索活动中存在多种安全漏洞，利用包括暴露环境变量 、文件使用长期凭证以及缺乏最小权限架构 。入侵”Palo Alto Networks Unit 42 在一份报告中指出
。云账

该活动的攻击公开显著特点是在受感染组织的亚马逊网络服务（AWS）环境中设置了攻击基础设施，并将其作为跳板 ，索活扫描超过 2.3 亿个唯一目标的动中的高防服务器敏感数据。

据了解，利用该恶意活动以 11 万个域为目标 ，文件在 .env 文件中获取了超过 9 万个独特变量 ，入侵其中 7000 个变量属于组织的云账云服务
，1500 个变量与社交媒体账户相关联 。攻击公开

Unit 42 表示，这次活动攻击者成功对托管在云存储容器中的数据进行勒索。不过 ，攻击者并没有在勒索之前对数据进行加密 ，而是将数据提取出来 ，并将勒索信放在被入侵的云存储容器中 。免费模板

这些攻击最引人注目的一点是，它并不依赖于云提供商服务中的安全漏洞或错误配置 ，而是源于不安全 Web 应用程序上的 .env 文件意外曝光，从而获得初始访问权限。

成功破坏云环境为广泛的发现和侦察步骤铺平了道路，目的是扩大他们的影响力 ，威胁行为者将 AWS 身份和访问管理（IAM）访问密钥武器化，源码库以创建新角色并提升他们的权限 。

具有管理权限的新 IAM 角色随后被用于创建新的 AWS Lambda 函数
，以启动包含数百万个域名和 IP 地址的全网自动扫描操作。

Unit 42 的研究人员 Margaret Zimmermann  、Sean Johnstone、William Gamazo 和 Nathaniel Quist 说："脚本从威胁行为者利用的可公开访问的第三方 S3 桶中检索到了潜在目标列表。恶意 lambda 函数迭代的潜在目标列表包含受害者域名的记录 。源码下载对于列表中的每个域名 ，代码都会执行一个 cURL 请求，目标是该域名暴露的任何环境变量文件（即 https://<target>/.env）。”

如果目标域名托管了已暴露的环境文件 ，文件中包含的明文凭据就会被提取出来 ，并存储在另一个由威胁行为者控制的公共 AWS S3 存储桶中新建的文件夹中
。目前
，该存储桶已被 AWS 关闭
。

研究人员发现，香港云服务器这场攻击活动特别针对包含 Mailgun 凭证的 .env 文件实例 ，表明攻击者试图利用它们从合法域名发送钓鱼邮件并绕过安全保护。

感染链的最后，威胁者会从受害者的 S3 存储桶中提取并删除敏感数据，并上传一张勒索信，提醒受害者联系并支付赎金
，以避免敏感信息在在暗网上被出售 。

威胁行为者试图创建新的弹性云计算（EC2）资源用于非法加密货币挖矿，但以失败告终 ，这也表明了攻击的经济动机 。

目前还不清楚谁是亿华云这场活动的幕后黑手，部分原因是使用了 VPN 和 TOR 网络来掩盖其真实来源，不过 Unit 42 表示 ，它检测到两个 IP 地址分别位于乌克兰和摩洛哥 ，是 lambda 功能和 S3 提取活动的一部分。

研究人员强调："这次活动背后的攻击者很可能利用了大量自动化技术来成功
、快速地开展行动 。这表明 ，这些威胁行为者在高级云架构流程和技术方面既熟练又专业
。”

参考来源：https://thehackernews.com/2024/08/attackers-exploit-public-env-files-to.html