Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch “khổng lồ” nhắm vào các cấu hình Git bị lộ để đánh cắp thông tin đăng nhập, sao chép các kho lưu trữ riêng tư, và thậm chí trích xuất thông tin đăng nhập đám mây từ mã nguồn.
Hoạt động này, được đặt tên mã là EMERALDWHALE, ước tính đã thu thập hơn 10.000 kho lưu trữ riêng tư và lưu trữ trong một kho Amazon S3 thuộc sở hữu của một nạn nhân trước đó. Kho dữ liệu này, bao gồm ít nhất 15.000 thông tin đăng nhập bị đánh cắp, sau đó đã bị Amazon gỡ bỏ.
“Theo báo cáo từ Sysdig, “các thông tin đăng nhập bị đánh cắp thuộc về các nhà cung cấp dịch vụ đám mây (CSP), các nhà cung cấp email và các dịch vụ khác.” Phishing và spam dường như là mục tiêu chính của việc đánh cắp các thông tin đăng nhập này.
Chiến dịch tội phạm đa chiều này, dù không phức tạp, được phát hiện là sử dụng một loạt công cụ riêng để đánh cắp thông tin đăng nhập cũng như lấy dữ liệu từ các file cấu hình Git, các file Laravel .env, và dữ liệu web thô. Hoạt động này chưa được quy cho bất kỳ tác nhân hay nhóm mối đe dọa nào đã biết.
Nhắm vào các máy chủ có file cấu hình kho Git bị lộ, sử dụng dải địa chỉ IP rộng, bộ công cụ của EMERALDWHALE cho phép phát hiện các máy chủ liên quan và trích xuất, xác thực thông tin đăng nhập.
Các token bị đánh cắp sau đó được sử dụng để sao chép các kho lưu trữ công khai và riêng tư và thu thập thêm các thông tin đăng nhập được nhúng trong mã nguồn. Thông tin bị lấy được cuối cùng sẽ được tải lên kho S3.
Lỗ hổng lớn từ cấu hình Git
Hai chương trình chính mà tác nhân mối đe dọa sử dụng để đạt được mục tiêu của mình là MZR V2 và Seyzo-v2, được bán trên các chợ ngầm và có khả năng nhận danh sách địa chỉ IP làm đầu vào để quét và khai thác các kho Git bị lộ.
Các danh sách này thường được tổng hợp từ các công cụ tìm kiếm hợp pháp như Google Dorks và Shodan cùng với các tiện ích quét như MASSCAN.
Hơn nữa, phân tích của Sysdig cho thấy một danh sách gồm hơn 67.000 URL với đường dẫn “/.git/config” bị lộ đang được rao bán trên Telegram với giá 100 USD, cho thấy thị trường cho các file cấu hình Git tồn tại.
“EMERALDWHALE, ngoài việc nhắm vào các file cấu hình Git, còn nhắm vào các file môi trường Laravel bị lộ,” nhà nghiên cứu của Sysdig, Miguel Hernández, cho biết. “Các file .env chứa nhiều thông tin đăng nhập, bao gồm các nhà cung cấp dịch vụ đám mây và cơ sở dữ liệu.”
“Thị trường chợ đen dành cho thông tin đăng nhập đang bùng nổ, đặc biệt là cho các dịch vụ đám mây. Cuộc tấn công này cho thấy rằng việc quản lý bí mật thông tin thôi là chưa đủ để bảo mật một môi trường.”
Nguồn: https://thehackernews.com/
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment