VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã đánh dấu một chiến dịch "lớn" nhắm vào các cấu hình Git bị lộ để đánh cắp thông tin đăng nhập, sao chép các kho lưu trữ riêng tư và thậm chí trích xuất thông tin đăng nhập đám mây từ mã nguồn.

Hoạt động này có tên mã là EMERALDWHALE, ước tính đã thu thập hơn 10.000 kho lưu trữ riêng tư và lưu trữ trong thùng lưu trữ Amazon S3 thuộc về một nạn nhân trước đó. Thùng lưu trữ này, bao gồm không dưới 15.000 thông tin đăng nhập bị đánh cắp, đã bị Amazon gỡ xuống.


"Các thông tin đăng nhập bị đánh cắp thuộc về Nhà cung cấp dịch vụ đám mây (CSP), nhà cung cấp email và các dịch vụ khác", Sysdig cho biết trong một báo cáo. "Lừa đảo và thư rác dường như là mục tiêu chính của việc đánh cắp thông tin đăng nhập".

Hoạt động tội phạm nhiều mặt này, mặc dù không tinh vi, đã được phát hiện là sử dụng một kho vũ khí gồm các công cụ riêng để đánh cắp thông tin đăng nhập cũng như thu thập các tệp cấu hình Git, tệp Laravel.env và dữ liệu web thô. Hoạt động này chưa được xác định là do bất kỳ tác nhân hoặc nhóm đe dọa nào đã biết.

Nhắm mục tiêu vào các máy chủ có tệp cấu hình kho lưu trữ Git được hiển thị bằng cách sử dụng phạm vi địa chỉ IP rộng, bộ công cụ được EMERALDWHALE áp dụng cho phép khám phá các máy chủ có liên quan cũng như trích xuất và xác thực thông tin đăng nhập.

Những token bị đánh cắp này sau đó được sử dụng để sao chép các kho lưu trữ công khai và riêng tư và lấy thêm thông tin xác thực được nhúng trong mã nguồn. Thông tin đã thu thập cuối cùng được tải lên thùng S3.


Hai chương trình nổi bật mà kẻ tấn công sử dụng để đạt được mục tiêu là MZR V2 và Seyzo-v2, được bán trên các chợ đen và có khả năng chấp nhận danh sách địa chỉ IP làm dữ liệu đầu vào để quét và khai thác các kho lưu trữ Git bị lộ.

Các danh sách này thường được biên soạn bằng các công cụ tìm kiếm hợp pháp như Google Dorks và Shodan và các tiện ích quét như MASSCAN.

Hơn nữa, phân tích của Sysdig phát hiện ra rằng một danh sách bao gồm hơn 67.000 URL có đường dẫn "/.git/config" được công khai đang được rao bán qua Telegram với giá 100 đô la, cho thấy có tồn tại một thị trường cho các tệp cấu hình Git.

"EMERALDWHALE, ngoài việc nhắm mục tiêu vào các tệp cấu hình Git, còn nhắm mục tiêu vào các tệp môi trường Laravel bị lộ", nhà nghiên cứu Miguel Hernández của Sysdig cho biết. "Các tệp.env chứa rất nhiều thông tin xác thực, bao gồm cả nhà cung cấp dịch vụ đám mây và cơ sở dữ liệu".

"Thị trường ngầm về thông tin xác thực đang bùng nổ, đặc biệt là đối với các dịch vụ đám mây. Cuộc tấn công này cho thấy chỉ quản lý bí mật thôi là không đủ để bảo vệ môi trường."