Pesquisadores de cibersegurança identificaram uma campanha "massiva" que visa configurações Git expostas para extrair credenciais, clonar repositórios privados e até mesmo retirar credenciais de cloud do código-fonte.
A atividade, codinome EMERALDWHALE, estima-se que tenha coletado mais de 10.000 repositórios privados e armazenado em um bucket de armazenamento Amazon S3 pertencente a uma vítima anterior.
O bucket, contendo não menos do que 15.000 credenciais roubadas, foi desde então removido pela Amazon.
"As credenciais roubadas pertencem a Provedores de Serviços de Nuvem (CSPs), provedores de e-mail e outros serviços," disse a Sysdig em um relatório.
Phishing e spam parecem ser o principal objetivo do roubo das credenciais.
A operação criminosa multifacetada, embora não sofisticada, foi encontrada utilizando um arsenal de ferramentas privadas para roubar credenciais, bem como scrapar arquivos de configuração Git, arquivos .env do Laravel e dados brutos da web.
Ela não foi atribuída a nenhum ator ou grupo de ameaça conhecido.
Mirando servidores com arquivos de configuração de repositórios Git expostos usando amplas faixas de endereços IP, o conjunto de ferramentas adotado por EMERALDWHALE permite a descoberta de hosts relevantes e a extração e validação de credenciais.
Esses tokens roubados são subsequentemente usados para clonar repositórios públicos e privados e capturar mais credenciais embutidas no código-fonte.
As informações capturadas são finalmente carregadas para o bucket S3.
Dois programas proeminentes que o ator de ameaça usa para realizar seus objetivos são MZR V2 e Seyzo-v2, que são vendidos em mercados clandestinos e são capazes de aceitar uma lista de endereços IP como entradas para a varredura e exploração de repositórios Git expostos.
Essas listas são tipicamente compiladas usando motores de busca legítimos como Google Dorks e Shodan e utilitários de varredura como MASSCAN.
Além disso, a análise da Sysdig descobriu que uma lista contendo mais de 67.000 URLs com o caminho "/.git/config" expostos está sendo oferecida à venda via Telegram por 100 dólares, sinalizando que existe um mercado para arquivos de configuração Git.
"EMERALDWHALE, além de mirar em arquivos de configuração Git, também visou arquivos de ambiente Laravel expostos," disse o pesquisador da Sysdig, Miguel Hernández.
Os arquivos .env contêm uma riqueza de credenciais, incluindo provedores de serviços de nuvem e bancos de dados.
O mercado clandestino para credenciais está em alta, especialmente para serviços de nuvem.
Este ataque mostra que a gestão de segredos sozinha não é suficiente para proteger um ambiente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...