Исследователи Unit 42 обнаружили кампанию по вымогательству, которая успешно взламывала и вымогала деньги у нескольких организаций-жертв. Для этого злоумышленники использовали открытые файлы переменных окружения (файлы .env), в которых содержались конфиденциальные данные, такие как учетные записи для различных приложений. Кампания была хорошо спланирована и использовала неправильные конфигурации безопасности, включая раскрытие переменных окружения, использование долгоживущих учетных данных и отсутствие архитектуры наименьших привилегий.
Злоумышленники создали инфраструктуру атак в среде Amazon Web Services (AWS) различных организаций и провели сканирование более 230 миллионов уникальных целей в поисках конфиденциальной информации. Они нацелились на 110 000 доменов и обнаружили более 90 000 уникальных переменных в файлах .env. Часть из них принадлежала облачным сервисам организаций, а другая часть была связана с аккаунтами в социальных сетях. Злоумышленники также использовали несколько сетей для своей операции, включая сеть лукового маршрутизатора (Tor), виртуальные частные сети (VPN) и конечные точки виртуальных частных серверов (VPS).
В ходе кампании злоумышленники успешно получили данные, размещенные в контейнерах облачного хранилища. Они не шифровали данные, а эксфильтрировали их и оставляли записку с требованиями выкупа во взломанном контейнере. За счет использования различных методов автоматизации, злоумышленники смогли добиться успешных и быстрых результатов, что свидетельствует о их опыте в передовых процессах и технологиях облачной архитектуры.
Ошибки в безопасности, которые позволили злоумышленникам успешно провести свою кампанию, были связаны с неправильными конфигурациями в организациях-жертвах, которые случайно раскрыли свои файлы .env. В данной ситуации не было уязвимостей или неправильных конфигураций в облачных сервисах, использованных злоумышленниками. Чтобы защитить себя от подобных угроз, клиенты Palo Alto Networks могут использовать различные продукты для обнаружения и предотвращения атак.
Indicators of Compromise
IPv4
- 109.70.100.71
- 125.20.131.190
- 139.99.68.203
- 141.95.89.92
- 144.172.118.62
- 146.70.184.10
- 176.123.8.245
- 178.132.108.124
- 185.100.85.25
- 185.100.87.41
- 185.220.101.19
- 185.220.101.190
- 185.220.101.21
- 185.220.101.29
- 185.220.101.30
- 185.220.101.86
- 185.220.103.113
- 192.42.116.18
- 192.42.116.181
- 192.42.116.187
- 192.42.116.192
- 192.42.116.199
- 192.42.116.201
- 192.42.116.208
- 192.42.116.218
- 193.42.98.65
- 193.42.99.169
- 193.42.99.50
- 193.42.99.58
- 195.158.248.220
- 195.158.248.60
- 196.112.184.14
- 198.251.88.142
- 199.249.230.161
- 45.137.126.12
- 45.137.126.16
- 45.137.126.18
- 45.137.126.41
- 45.83.104.137
- 45.94.208.42
- 45.94.208.63
- 45.94.208.76
- 45.94.208.85
- 46.150.66.226
- 49.37.170.97
- 62.171.137.169
- 72.55.136.154
- 80.67.167.81
- 89.234.157.254
- 94.142.241.194
- 95.214.216.158
- 95.214.217.173
- 95.214.217.224
- 95.214.217.242
- 95.214.217.33
- 95.214.234.103
URLs
- https://github.com/brentp/gargs/releases/download/v0.3.9/gargs_linux
SHA256
- 64e6ce23db74aed7c923268e953688fa5cc909cc9d1e84dd46063b62bd649bf6
