安全的AWS桶用于发射Magecart攻击
Cyber罪犯推出Magecart信用卡 - 撇击攻击继续利用LAX态度来保护亚马逊Web服务简单的存储服务(AWS S3)根据RuskiQ的新研究,将其进入其目标的基础设施。
通过AWS-S3存储桶的故障默认保护,所以当它们泄漏时,它在所有者的部分上是错误的 - 流行的对象存储服务可以很容易地利用访问网站并将恶意代码注入它们。
脆弱的AWS S3桶可以通过扫描来轻松找到 - 合法的安全专业人士经常这样做,以便警告他们的主人 - 但显然的网络罪犯也意识到这一点。返回2019年7月,RiskiQ报告说,Magecart广告系列利用MISCONPD S3桶将JavaScript信用卡Skimmers借用数百个网站。
5月2020年5月,RiskiQ在属于endeavor Business Media的三个网站上找到了更多Magecart Skimming Code,该网站是多个标题的美国B2B发布商,包括致力于安全专业人士。
该公司表示,其向出版商的方法被忽略了,因此它与第三方合作陷入恶意域名,我们在这里没有与您的保护联系起来。
RiskiQ发现其中一家网站也托管了一个恶意重定向器,“jqueryapi1oad”,它连接到Hookads Malvertising Campaign,历史地与许多利用套件和其他恶意行为相关联。这款特定的重定向器首先于2019年4月介绍,已连接到270多个主机到目前为止,包括Futbolred.com,南美足球新闻网站,具有前30,000名Alexa排名。
“允许恶意演员将其代码插入众多网站的Milconpd S3桶是一个正在进行的问题,”Riskiq的Railiq的Jordan Herman在披露博客中。“在这里,我们已经确定了属于同一公司的三个站点,目前主持Magecart实例。
“其中一个也是托管JQueryapi1oad,我们连接到Hookads Campaign的恶意重定向器,这在历史上与利用套件和其他恶意行为有关。
“由于涉及MISCONPD S3存储桶的攻击继续,了解您组织在其数字攻击表面上使用它们的位置是必要的。在当今的威胁环境中,企业无法安全地向前迈进,而不会有数字足迹,这是所有数字资产的库存,以确保他们在安全团队的管理层并妥善康明。“
RiskiQ承认发现受损的S3桶是一个痛苦和可能令一个组织令人痛苦的尴尬时刻,但强调采取行动立即评估事件的范围至关重要,而不是试图祝福问题。
在寻找泄漏的桶时,安全团队应该建立发生的事情,如何以及立即影响,例如文件是否被访问,删除或修改,是否受到任何恶化的任何进程或任何公共内容受到影响。
“一些妥协可能只会导致外部损坏,例如品牌,或者根本没有损害,但安全团队仍然是答案,”赫尔曼说。““像Magecart这样的群体总是在徘徊,如果你不修理你的曝光,就会回来妥协你。下次,损害可能是灾难性的。“
为了缓解,风险仪建议清理桶并执行新部署资源,或者只是完全建立新的桶。也可以在S3存储桶上启用版本控制,以将对象滚动到最后一个已知的安全版本。
到目前为止,希望,课程将被学习。前进,安全团队应该:检查数据分类,是否可以公开;限制写入权限;仅向指定的用户或主机提供此类权限,并查看它们是否仍然需要从时刻需要访问;采用白名单方法前往以前的物品;并启用帐户级别块。
有关这种威胁的更多信息,以及妥协指标,可以在RiskiQ的网站上找到。