0800-000-964

11萬網域不當設定，招致憑證遭竊及駭客勒索

取自：iThome

聯播：吉傳媒

贊助廣告 jAD Ads 內容比對

傑愛得資訊資安雲服務：網站主機結合AI智能巡佐，有效阻擋DDoS、CC攻擊，強化會員個資安全性。 ISO/IEC 27001:2022 Lead Auditor 資安管理系統主導稽核員認證。

您好，我們是傑愛得資訊，歡迎來到我們的媒體聯播網

駭客利用企業的雲端應用環境設定不當的資安弱點，進行大規模勒索攻擊行動

文/林妍溱 | 2024-08-19發表

圖片來源: Palo Alto Networks

Palo Alto Networks研究人員揭露，雲端應用環境設定不當導致攻擊者得以竊取重要資料，並向受害企業勒索的攻擊行動。

Unite 24資安研究小組指出，這波攻擊發生在部署帳號營運員（cloud operator），並啟用權限過於寬鬆的身分驗證管理（Identity & Authentication Management，IAM）的雲端環境。由於這些帳號營運員未能遵循雲端安全最佳實作，讓駭客得以取得包含敏感變項，像是驗證憑證的環境變項檔（.env）檔，並進行多種手法存取。.env檔是一種設定檔，允許用戶定義應用程式或平臺使用的配置變項。這些檔案常包含敏感資訊，像是存取金鑰、軟體即服務（Software-as-a-service，SaaS）API金鑰、和資料庫登入資訊。

下方繼續閱讀

jAD Ads 聯播廣告

曝光6,625/日成本100/月

下文請點廣告解鎖

投放Google多媒體聯播網廣告(點此)arrow_downward，包含轉換代碼安裝

※ 如果看到投資類型廣告，請再三評估風險！

繼續閱讀keyboard_double_arrow_down

在研究人員觀察到的行動中，攻擊者在多個Amazon Web Services（AWS）設立攻擊基礎架構，先掃瞄網際網路以找尋公開曝險的bucket，再濫用其外洩的環境變項。這波攻擊中，11萬個網域成為鎖定對象，最後取得9萬多個獨特的變項。這些變項中，7,000個屬於組織的雲端服務，研究人員並追蹤1,500個變項是來自社交媒體帳號。研究人員說，受害組織.env檔案之所以外洩，並非出於應用程式或服務漏洞，或是產品廠商原有設定不當，而是受害組織自己的配置不慎，像是不常變更密碼，或是忽略使用最小權限的安全原則。

研究人員揭露的部分案例中，攻擊者利用數種發現（discovery）API，鎖定AWS服務包括IAM、Security Token Service（STS）、Simple Storage Service（S3）和Simple Email Service（SES）發出呼叫，並獲得回傳AWS UserID、AWS帳號號碼以及Amazon Resource Name（ARN）。進一步探查ARN檔，還可以取得關聯的AWS服務、代管AWS資源的雲端區域、AWS帳號及和IAM憑證相關的資源型態（如使用者或群組）。

利用這些到手的IAM憑證資訊，研究人員觀察到攻擊者對AWS EC2、及AWS Lambda服務發動權限擴張（escalation of privilege）、程式碼執行（code execution）攻擊。

最後，攻擊者並利用雲端容器內的資料，向受害組織勒贖。研究人員分析，駭客用以勒索受害組織的方法包括利用洋葱路由器（Tor）網路執行偵察和初始的存取，利用VPN達成橫向移動和資料竊取，再使用虛擬私有網路（VPS）端點進行其他操作。這波攻擊完全沒用到加密，而是竊得資料後再把勒索訊息留在受害者雲端容器內。

從被害網域數量之大，研究人員判斷駭客是利用自動化手法執行攻擊，他們也根據手法判斷，發動攻擊的是一群精於雲端架構流程及手法的駭客。

Palo Alto Networks團隊並未說明這波攻擊是由誰發動，只說通報AWS後，AWS已解決用戶bucket曝露在公開網際網路的問題。該公司並建議用戶以防火牆、DNS安全、URL過濾、以及IAM方案來強化雲端安全防護。

點此投放Google多媒體聯播網廣告

※ 如果看到投資類型廣告，請再三評估風險！

post_add 資料來源：iThome

回智庫 apartment | 超玩媒

駭客

Ads by jAD

網站+主機+網域+廣告，找我們一次解決

傑愛得資訊領先業界

國際認證獎項報導

我們是業界少數同時具備數位行銷、系統開發、雲端服務的數位整合專業團隊

─ 2021.05

【2024年亞太區年度AI人工智慧廣告科技公司】封面人物
榮獲 MarTech Outlook 美國期刊評選

【2023年亞太區20大傑出AI人工智慧解決方案服務商】
榮獲 APAC CIO Outlook 美國矽谷期刊評選

【2024年值得關注的30大領先企業】
榮獲 CIO Bulletin 美國期刊評選

取得AI廣告追蹤技術國家發明專利

ISO/IEC 27001:2022 Lead Auditor 資安管理系統主導稽核員

explore 發展趨勢

bookmark_star 查看資歷

【2024年亞太區年度AI廣告科技公司 AI Advertising Technology Company of the Year in APAC 2024】封面人物，榮獲MarTech Outlook期刊評選
【2024年全球十大最具影響力的領導人 Top 10 Best Global Influential Leaders of 2024】榮獲Business Frontier雜誌評選
【2024年值得關注的30大領先企業 30 Leading Companies to Watch 2024】榮獲CIO Bulletin期刊評選
【2023年最具啟發性的企業領袖總裁】榮獲CXO Outlook美國期刊評選
【2023年亞太區20大傑出AI人工智慧供應商】榮獲《APAC CIO Outlook》矽谷科技期刊評選
Google Ads 全台灣第一個金融業智慧出價2.0成功案例。
多年數位行銷經驗，為Google Partners徽章認證經銷，代理Google, Facebook, Dcard, Microsoft, Yahoo apollo，並提供旗下jAD Ads聯播網廣告。
擁有AI數位廣告技術專利。全台灣第一家擁有專利的廣告代理商。
全台獨家推出 Google語音助理專用廣告。
2018年台灣地區Google Ads帳戶優化品質第一。
每月代客操盤數位廣告投放金額達800萬台幣。Google Ads代理累計超過4億台幣+。
回饋Google官方協助Google Ads廣告系統優化與無效點擊分析。
參與過多次台灣地區選舉網路廣告，2018年為候選人輔選衝出第一高票，當選率100%。
曾為某家無品牌客戶三年內在網路上陌生開發一億業績。
曾為企業旗下三網站在Yahoo!奇摩搜尋引擎優化SEO，自然搜尋關鍵字排名前三名(第一名~三)。
旗下經營自媒體與電商。
曾研發Yahoo!關鍵字廣告惡意點擊反擊程式。
曾為客戶品牌行銷，透過搜尋行銷SEM讓關鍵字在產業TA形成Google熱搜。
領先業界研發網站人潮之網頁定點閱讀率分析。
領先業界研發網站全通路人潮分析系統，直接於訂單中分析客戶來訪的廣告來源(搜尋/FB/LINE/WeChat)、客戶搜尋的關鍵字、客戶點閱的廣告文案。
為全端網站設計團隊，並具有多年網路行銷經驗。
擔任企業網路行銷顧問講師，專門破解同業暗黑行銷術。提供網醫數位行銷診斷服務

立即聯絡

Google數位行銷服務關鍵字搜尋聯播網廣告 GDN 多媒體聯播網廣告 YouTube 影片聯播網廣告 Performance Max PMax最高成效廣告購物廣告智慧型廣告探索廣告應用程式廣告 motion_sensor_active 轉換追蹤規劃設定服務類別 AI 網路廣告 AI 網站系統 AI 雲端主機 AI 人工智慧 AI SEO優化站內搜尋 medication 網醫診斷 AI客服 LINE id: @vhp8681s [email protected] 傑愛得資訊 Jump AD 聯絡： 0800-000-964 WeChat id: godzilla1128
			聯絡我們