Güvenliksiz web uygulamalarındaki .env dosyalarını kullanarak 110.000 alan adını hedefleyen karmaşık bir gasp kampanyası gerçekleştirildi.
Saldırganlar bu dosyalardan AWS IAM erişim anahtarlarını elde ederek sınırsız erişime sahip yeni IAM rolleri ve politikaları oluşturmalarına olanak tanıdı.
Bu, ayrıcalıklarını artırarak veri çalmalarına ve bulut depolamasını fidye olarak almalarına olanak sağladı. Açığa çıkan .env dosyaları muhtemelen API anahtarları, parolalar ve veritabanı kimlik bilgileri gibi hassas bilgiler içeriyordu ve bu da onları siber suçlular için değerli hedefler haline getiriyordu.
S3 kapsayıcılarında depolanan verileri fidye olarak almak için yanlış yapılandırılmış AWS .env dosyalarından yararlandı. 100.000’den fazla etki alanını hedef alarak, saldırganlar hassas verileri verimli bir şekilde tehlikeye atmak ve sızdırmak için otomasyonu ve bulut altyapısına ilişkin derinlemesine bilgiyi kullandı.
Kampanya, bu tür tehditleri azaltmak için sağlam kimlik doğrulama, erişim kontrolleri, veri şifreleme, güvenli yapılandırma yönetimi ve kapsamlı izleme ve günlük kaydı gibi bulut güvenliği en iyi uygulamalarının önemini vurguluyor.
Bulut kullanıcılarının birden fazla güvenlik açığından yararlanması, saldırganların hassas kimlik bilgileri içeren .env dosyalarını istismar etmesine olanak tanıdı. Bu, ortam değişkenlerini açığa çıkarmayı, uzun ömürlü kimlik bilgileri kullanmayı ve en az ayrıcalık mimarisini uygulamamayı içeriyordu.
Saldırganlar, AWS ortamlarına yetkisiz erişim sağladı ve 110.000 etki alanına odaklanarak milyonlarca hedefi hassas veriler açısından taradı ve .env dosyalarından 90.000’den fazla benzersiz değişkeni çıkardı.
Bulut hizmetleri ve sosyal medya hesaplarına ilişkin hassas bilgilerin ifşa edilmesi, saldırganların hem kurumsal hem de kişisel verileri ele geçirmeye çalıştığını ortaya koydu.
Saldırganlar, bulut depolama konteynerlerine yetkisiz erişim sağlamak için sanal özel sunucular, Tor ağı ve VPN’lerden yararlanarak çok katmanlı bir yaklaşım kullanarak karmaşık bir siber saldırı gerçekleştirdiler.
Sisteme sızdıktan sonra, hassas verileri şifrelemeden dışarı sızdırdılar. Daha sonra, çalınan bilgilerin iadesi için ödeme talep eden bir fidye notu, tehlikeye atılan konteynerin içine yerleştirildi ve siber tehditlerin artan karmaşıklığını ve hassas verileri korumak için sağlam güvenlik önlemlerine olan ihtiyacı vurguladı.
Tehdit aktörleri, genellikle AWS IAM erişim anahtarları gibi hassas kimlik bilgileri içeren ve yükseltilmiş ayrıcalıklara sahip yeni IAM rolleri oluşturmak için kullanılabilen bulut ortamlarına yetkisiz erişim elde etmek için .env dosyalarının yaygın olarak açığa çıkmasını istismar ediyor.
Cyble’ın tehdit istihbarat platformu, 2024’ün başından bu yana 1,4 milyondan fazla ifşa edilmiş .env dosyası tespit ederek bu güvenlik açığının yaygınlığını gözler önüne serdi.
Saldırganlar, güvenli olmayan web uygulamalarında bu dosyaları tarayarak yetkilerini artırmak ve bulut kaynaklarını tehlikeye atmak için gerekli kimlik bilgilerini kolayca elde edebilirler.
Saldırganlar ilk olarak ifşa edilen IAM kimlik bilgilerinin kimliğini ve hesap bilgilerini doğruladı ve ardından mevcut IAM kullanıcılarını ve S3 kovalarını sıraladı. Ayrıcalıkları yükseltmek için yönetici erişimi olan yeni bir IAM rolü oluşturdular.
Uygulama aşamasında EC2 altyapı yığınını oluşturmayı başaramadılar ancak potansiyel hedefleri taramak için bir bash betiğini başlatmak için kullanılan AWS Lambda işlevlerini başarıyla oluşturdular.
Bunu önlemek için en iyi güvenlik uygulamaları arasında “.env” dosyalarını sürüm denetimine tabi tutmamak ve bunun yerine ortam değişkenlerini kullanmak yer alır.
Kuruluşların ayrıca erişim kontrolleri, denetimler ve gizli yönetim araçları uygulaması gerekirken, saldırganlar konumlarını maskelemek için Tor çıkış düğümlerini, VPS’yi ve VPN uç noktalarını kullandılar.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access