Исследователи в области кибербезопасности обнаружили крупномасштабную кампанию, получившую название EMERALDWHALE, которая нацелена на уязвимые конфигурации Git. Целью злоумышленников является кража учётных данных, клонирование частных репозиториев и даже извлечение облачных учётных данных из исходного кода.
По оценкам, EMERALDWHALE собрала более 10 000 частных репозиториев и сохранила их в хранилище Amazon S3, принадлежащем предыдущей жертве. Это хранилище содержало не менее 15 000 украденных учётных данных, которые с тех пор были удалены Amazon. «Украденные учётные данные принадлежат поставщикам облачных услуг, поставщикам электронной почты и другим службам. Похоже, что фишинг и спам являются основными целями кражи учётных данных», — говорится в отчёте Sysdig.
Преступная операция использует арсенал частных инструментов для кражи учётных данных, а также для извлечения файлов конфигурации Git и необработанных веб-данных. Она не была приписана ни одному известному субъекту или группе.
Набор инструментов EMERALDWHALE нацелен на серверы с открытыми файлами конфигурации репозитория Git, используя широкие диапазоны IP-адресов для обнаружения соответствующих хостов, извлечения и проверки учётных данных. Эти украденные токены впоследствии используются для клонирования публичных и частных репозиториев и захвата большего количества учётных данных, содержащихся в исходном коде. Захваченная информация в конечном итоге загружается в контейнер S3.
Две известные программы, которые используются, — это MZR V2 и Seyzo-v2, которые продаются на подпольных торговых площадках и способны принимать список IP-адресов в качестве входных данных для сканирования и эксплуатации уязвимых репозиториев Git. Эти списки обычно составляются с использованием поисковых систем, таких как Google Dorks и Shodan, а также утилит сканирования, таких как MASSCAN.
Более того, анализ Sysdig показал, что список, содержащий более 67 000 URL-адресов с открытым путём «/.git/config», предлагается для продажи через Telegram за $100, что свидетельствует о существовании рынка файлов конфигурации Git.
«EMERALDWHALE, помимо файлов конфигурации Git, также нацелился на открытые файлы среды Laravel. Файлы .env содержат множество учётных данных, включая поставщиков облачных услуг и базы данных. Подпольный рынок учётных данных процветает, особенно что касается облачных сервисов», — сказал исследователь Sysdig Мигель Эрнандес.