{"id":1283420,"date":"2024-08-16T16:13:06","date_gmt":"2024-08-16T18:13:06","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-attaquants-exploitent-les-fichiers-env-publics-pour-pirater-les-comptes-cloud-et-les-reseaux-sociaux\/"},"modified":"2024-08-16T16:13:10","modified_gmt":"2024-08-16T18:13:10","slug":"des-attaquants-exploitent-les-fichiers-env-publics-pour-pirater-les-comptes-cloud-et-les-reseaux-sociaux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-attaquants-exploitent-les-fichiers-env-publics-pour-pirater-les-comptes-cloud-et-les-reseaux-sociaux\/","title":{"rendered":"Des attaquants exploitent les fichiers .env publics pour pirater les comptes cloud et les r\u00e9seaux sociaux"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du Cloud \/ S\u00e9curit\u00e9 des applications<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Des-attaquants-exploitent-les-fichiers-env-publics-pour-pirater-les.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une campagne d\u2019extorsion \u00e0 grande \u00e9chelle a compromis diverses organisations en exploitant des fichiers de variables d\u2019environnement accessibles au public (.env) contenant des informations d\u2019identification associ\u00e9es aux applications cloud et aux m\u00e9dias sociaux.<\/p>\n<p>\u00ab Plusieurs erreurs de s\u00e9curit\u00e9 ont \u00e9t\u00e9 constat\u00e9es au cours de cette campagne, notamment les suivantes : exposition de variables d&#8217;environnement, utilisation d&#8217;identifiants \u00e0 longue dur\u00e9e de vie et absence d&#8217;architecture de moindre privil\u00e8ge \u00bb, Palo Alto Networks Unit 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/large-scale-cloud-extortion-operation\/\" target=\"_blank\">dit<\/a> dans un rapport de jeudi.<\/p>\n<p>La campagne est connue pour avoir install\u00e9 son infrastructure d&#8217;attaque dans les environnements Amazon Web Services (AWS) des organisations infect\u00e9es et les avoir utilis\u00e9s comme rampe de lancement pour analyser plus de 230 millions de cibles uniques \u00e0 la recherche de donn\u00e9es sensibles.<\/p>\n<p>Avec 110 000 domaines cibl\u00e9s, l&#8217;activit\u00e9 malveillante aurait captur\u00e9 plus de 90 000 variables uniques dans les fichiers .env, dont 7 000 appartenaient aux services cloud des organisations et 1 500 variables \u00e9taient li\u00e9es aux comptes de m\u00e9dias sociaux.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-a-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u00ab Cette campagne a impliqu\u00e9 des attaquants qui ont r\u00e9ussi \u00e0 r\u00e9cup\u00e9rer des donn\u00e9es h\u00e9berg\u00e9es dans des conteneurs de stockage cloud \u00bb, a d\u00e9clar\u00e9 Unit 42. \u00ab Les attaquants n&#8217;ont pas chiffr\u00e9 les donn\u00e9es avant de demander la ran\u00e7on, mais ils ont plut\u00f4t exfiltr\u00e9 les donn\u00e9es et plac\u00e9 la demande de ran\u00e7on dans le conteneur de stockage cloud compromis. \u00bb<\/p>\n<p>L&#8217;aspect le plus frappant de ces attaques est qu&#8217;elles ne reposent pas sur des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 ou des erreurs de configuration dans les services des fournisseurs de cloud, mais proviennent plut\u00f4t de l&#8217;exposition accidentelle de fichiers .env sur des applications Web non s\u00e9curis\u00e9es pour obtenir un acc\u00e8s initial.<\/p>\n<p>Une violation r\u00e9ussie d&#8217;un environnement cloud ouvre la voie \u00e0 des mesures de d\u00e9couverte et de reconnaissance approfondies dans le but d&#8217;\u00e9largir leur emprise, les acteurs de la menace utilisant les cl\u00e9s d&#8217;acc\u00e8s AWS Identity and Access Management (IAM) pour cr\u00e9er de nouveaux r\u00f4les et \u00e9lever leurs privil\u00e8ges.<\/p>\n<p>Le nouveau r\u00f4le IAM avec des autorisations administratives est ensuite utilis\u00e9 pour cr\u00e9er de nouvelles fonctions AWS Lambda afin de lancer une op\u00e9ration d&#8217;analyse automatis\u00e9e \u00e0 l&#8217;\u00e9chelle d&#8217;Internet contenant des millions de domaines et d&#8217;adresses IP.<\/p>\n<p>\u00ab Le script a r\u00e9cup\u00e9r\u00e9 une liste de cibles potentielles \u00e0 partir d&#8217;un bucket S3 tiers accessible au public exploit\u00e9 par l&#8217;acteur de la menace \u00bb, ont d\u00e9clar\u00e9 les chercheurs de l&#8217;Unit\u00e9 42 Margaret Zimmermann, Sean Johnstone, William Gamazo et Nathaniel Quist.<\/p>\n<p>&#8220;La liste des cibles potentielles sur lesquelles la fonction lambda malveillante a effectu\u00e9 une it\u00e9ration contenait un enregistrement des domaines victimes. Pour chaque domaine de la liste, le code a ex\u00e9cut\u00e9 une requ\u00eate cURL, ciblant tous les fichiers de variables d&#8217;environnement expos\u00e9s dans ce domaine (c&#8217;est-\u00e0-dire https:\/\/<target>\/.env).&#8221;<\/target><\/p>\n<p>Si le domaine cible h\u00e9berge un fichier d&#8217;environnement expos\u00e9, les informations d&#8217;identification en texte clair contenues dans le fichier sont extraites et stock\u00e9es dans un dossier nouvellement cr\u00e9\u00e9 dans un autre compartiment AWS S3 public contr\u00f4l\u00e9 par un acteur malveillant. Le compartiment a depuis \u00e9t\u00e9 supprim\u00e9 par AWS.<\/p>\n<p>Il a \u00e9t\u00e9 d\u00e9couvert que la campagne d&#8217;attaque ciblait sp\u00e9cifiquement les cas o\u00f9 les fichiers .env contiennent des informations d&#8217;identification Mailgun, indiquant un effort de la part de l&#8217;adversaire pour les exploiter afin d&#8217;envoyer des e-mails de phishing \u00e0 partir de domaines l\u00e9gitimes et de contourner les protections de s\u00e9curit\u00e9.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723195626_70_Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La cha\u00eene d&#8217;infection se termine avec l&#8217;acteur de la menace qui exfiltre et supprime les donn\u00e9es sensibles du bucket S3 de la victime, et t\u00e9l\u00e9charge une note de ran\u00e7on qui l&#8217;invite \u00e0 contacter et \u00e0 payer une ran\u00e7on pour \u00e9viter de vendre les informations sur le dark web.<\/p>\n<p>Les motivations financi\u00e8res de l&#8217;attaque sont \u00e9galement \u00e9videntes dans les tentatives infructueuses de l&#8217;acteur malveillant de cr\u00e9er de nouvelles ressources Elastic Cloud Compute (EC2) pour l&#8217;extraction illicite de cryptomonnaies.<\/p>\n<p>On ne sait pas encore clairement qui se cache derri\u00e8re cette campagne, en partie \u00e0 cause de l&#8217;utilisation de VPN et du r\u00e9seau TOR pour dissimuler leur v\u00e9ritable origine, bien que l&#8217;Unit\u00e9 42 ait d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 deux adresses IP g\u00e9olocalis\u00e9es en Ukraine et au Maroc dans le cadre de la fonction lambda et des activit\u00e9s d&#8217;exfiltration S3, respectivement.<\/p>\n<p>\u00ab Les attaquants \u00e0 l\u2019origine de cette campagne ont probablement utilis\u00e9 des techniques d\u2019automatisation pouss\u00e9es pour op\u00e9rer avec succ\u00e8s et rapidit\u00e9 \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Cela indique que ces groupes d\u2019acteurs malveillants sont \u00e0 la fois comp\u00e9tents et comp\u00e9tents dans les processus et techniques d\u2019architecture cloud avanc\u00e9s. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/attackers-exploit-public-env-files-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 ao\u00fbt 2024\ue804Ravie LakshmananS\u00e9curit\u00e9 du Cloud \/ S\u00e9curit\u00e9 des applications Une campagne d\u2019extorsion \u00e0 grande \u00e9chelle a compromis diverses organisations en exploitant des fichiers de variables d\u2019environnement accessibles au public (.env) contenant des informations d\u2019identification associ\u00e9es aux applications cloud et aux m\u00e9dias sociaux. \u00ab Plusieurs erreurs de s\u00e9curit\u00e9 ont \u00e9t\u00e9 constat\u00e9es au cours de cette [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1283421,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[248088,238714,200292,238582,238778,11865,22780,4168,4493,4158,6124,133,8736,21769,65,238584,200271,238334,98340,22524,185,16405,1769,238617,246491,4172,1770,4166,238583],"class_list":["post-1283420","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-env","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-attaquants","tag-cloud","tag-comment-pirater","tag-comptes","tag-cyber-actualites","tag-cyberattaques","tag-des","tag-exploitent","tag-fichiers","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-pirater","tag-pour","tag-publics","tag-reseaux","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-sociaux","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1283420","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1283420"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1283420\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1283421"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1283420"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1283420"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1283420"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}