Uma campanha complexa em larga escala foi detectada por pesquisadores da Unidade 42 que manipularam e extorquiram várias organizações usando sistemas de nuvem.
Analistas de segurança descobriram que esse ataque cibernético em larga escala na AWS tem como alvo mais de 230 milhões de ambientes de nuvem exclusivos.
EHA
Os invasores criaram uma tática inteligente de explorar arquivos de variáveis de ambiente expostas (.env) em infraestruturas de nuvem.
Esses arquivos .env, muitas vezes esquecidos em medidas de segurança, continham dados confidenciais, como códigos de acesso a diferentes programas e serviços.
Isso permitiu que os hackers obtivessem entrada não autorizada nos sistemas das vítimas, por meio dos quais se infiltraram ainda mais nas redes.
Análise técnica
Os agentes da ameaça utilizaram ferramentas automatizadas para verificar milhões de domínios, invadindo arquivos .env expostos que continham informações críticas.
Uma vez lá dentro, eles começaram realizando um amplo reconhecimento dos ambientes violados com chamadas de API da AWS, como GetCallerIdentity, ListUsers e ListBuckets.
A próxima coisa que aconteceu foi que os atores elevaram seus privilégios formando novas funções do IAM que tinham direitos administrativos totais sobre elas e isso mostrou como eles entendiam bem os elementos do AWS IAM.
Eles então prosseguiram para implantar funções do Lambda que foram projetadas maliciosamente para executar varreduras recursivas para mais arquivos .env em várias regiões do Amazon Web Services, incluindo um foco particular em credenciais do Mailgun úteis para uma campanha de phishing em larga escala.
O enorme alcance da campanha foi visível, pois eles conseguiram acessar arquivos .env em mais de 110.000 domínios e tinham uma lista de alvos que ultrapassava 230 milhões de endpoints exclusivos.
A operação terminou com a exfiltração de dados em buckets S3 controlados por invasores.
Arquitetura operacional do ator da ameaça (Fonte – Paloalto)
Tais táticas de ataque sofisticadas destacam a importância de implementar políticas de IAM robustas, ficar de olho nas atividades da nuvem o tempo todo e observar uma abordagem de segurança muito exigente para arquivos de configuração para evitar entrada não autorizada e riscos relacionados à perda ou vazamento de dados em ambientes de nuvem.
“Após as operações de descoberta do agente de ameaça, eles identificaram que a credencial IAM original usada para obter acesso inicial ao ambiente de nuvem não tinha acesso de administrador a todos os recursos de nuvem. Determinamos que os invasores descobriram que a função IAM original usada para acesso inicial tinha as permissões para criar novas funções IAM e anexar políticas IAM a funções existentes.” Pesquisa da Palo Alto.
Esta campanha de extorsão baseada em nuvem revelou táticas sofisticadas em exfiltração de dados e segurança operacional.
O S3 Browser foi explorado pelos invasores para fazer chamadas de API específicas que entregavam suas operações sem passar pelo registro em nível de objeto.
É importante observar que a exfiltração pode ser detectada por meio de relatórios de custo e uso, o que indicaria picos nas operações GetObject e DeleteObject.
Após a exfiltração e exclusão de dados, os invasores carregaram notas de resgate nos buckets S3 esvaziados, exigindo pagamento para evitar vazamentos de dados e potencialmente restaurar informações excluídas.
.webp?w=800&ssl=1)
Nota de resgate (Fonte – Paloalto)
Essas notas representavam o nível final de extorsão cibernética que às vezes conseguia ser enviada aos acionistas da empresa alvo por e-mail.
A campanha foi além dos serviços de nuvem, que comprometeram credenciais de login de mídia social e revelaram vários detalhes de infraestrutura.
Também foi um erro tático por parte dos invasores usando nós Tor e clientes VPN, pois eles poderiam potencialmente revelar localizações na Ucrânia e Marrocos.
.webp?w=800&ssl=1)
Consequentemente, as organizações precisam implementar medidas de segurança adequadas, como desabilitar regiões AWS não utilizadas, ter logs robustos com um período de retenção de 90 dias e empregar o Amazon GuardDuty.
Para esse fim, as empresas devem adotar a preferência de credenciais temporárias e privilégios mínimos e desenvolver sistemas de alerta personalizados adequados ao seu padrão de uso dentro da AWS.
Fonte: cybersecuritynews.com
