Palo Alto Networks的安全研究人员发现，威胁行为者通过利用意外暴露的环境变量，入侵云环境后勒索组织。

在这场大规模的勒索活动中，Palo Alto Networks警告称，攻击者通过暴露的.env文件，锁定了11万个域名，这些文件包含敏感信息，被存储在未加密的Web应用程序和配置错误的服务器上。

.env文件用于组织定义Web应用程序的配置变量，通常包含硬编码的云服务访问密钥、SaaS API密钥和数据库登录信息等关键数据。

受害组织未能妥善保护这些文件，使得威胁行为者能够提取AWS身份与访问管理（IAM）访问密钥，并利用这些密钥访问托管的云环境。

Palo Alto Networks在暴露的.env文件中识别出了超过9万个独特的变量，其中包括7000个属于组织的云服务，还有1500个与社交媒体账户相关的变量。此外，本地应用程序的凭证也遭到曝光。

多种因素导致了这些攻击的成功，包括环境变量暴露的配置错误、长期凭证的使用以及缺乏最低权限策略。

研究人员观察到，攻击者依赖基于Tor的基础设施进行侦察和初始访问，使用VPN进行横向移动和数据外泄，并使用虚拟私有服务器（VPS）进行其他操作。

“攻击者成功勒索了托管在云存储容器中的数据。事件中并未加密数据，而是将数据窃取，并将勒索信放置在受损的云存储容器中，”研究公司表示。

攻击者可能依赖自动化工具快速且成功地运行操作，仅利用了意外暴露的.env文件，而不是利用云服务提供商的漏洞或配置错误。

Palo Alto Networks发现，威胁行为者扫描并识别暴露的.env文件，执行各种发现API调用，进一步了解如IAM、安全令牌服务（STS）、简单存储服务（S3）和简单邮件服务（SES）等服务。

“我们发现攻击者在尝试扩大其对组织云环境的控制时，针对这些服务进行攻击，”公司补充道。

攻击者使用初始访问的IAM角色创建了新的IAM资源，具有无限访问权限，并在受害者的云环境中提升权限。他们还尝试创建新资源进行加密货币挖矿，但未能成功。

然而，攻击者能够转向AWS Lambda服务，创建恶意的lambda函数，对数百万个域名和IP地址进行互联网范围的扫描，并从受损云环境中托管的公共S3桶中检索潜在目标的列表。公司称，“我们识别出威胁行为者扫描的目标超过2.3亿个。”

扫描操作专门针对暴露的环境变量文件，检索它们，提取其中包含的明文凭证，并将其存储在威胁行为者控制的公共S3桶中。

对该桶的分析显示，“威胁行为者至少复制了11万个域名的暴露.env文件，”Palo Alto Networks补充道。

为了防范此类攻击，建议组织使用临时凭证，限制攻击者对已入侵账户的访问时间，实施IAM资源的最小权限原则，禁用AWS账户中未使用的资源，并启用资源的日志记录和监控。