网络安全研究人员标记了一项“大规模”活动,该活动针对暴露的 Git 配置来窃取凭据、克隆私有存储库,甚至从源代码中提取云凭据。
据估计,该代号为 EMERALDWHALE 的活动收集了超过 10,000 个私有存储库,并存储在属于先前受害者的 Amazon S3 存储桶中。该存储桶包含不少于 15,000 个被盗凭证,此后已被 Amazon 关闭。
“被盗的凭据属于云服务提供商 (CSP)、电子邮件提供商和其他服务,”Sysdig 在一份报告中说。“网络钓鱼和垃圾邮件似乎是窃取凭据的主要目标。”
这种多方面的犯罪行动虽然并不复杂,但已发现它利用大量私人工具来窃取凭据以及抓取 Git 配置文件、Laravel .env 文件和原始 Web 数据。它尚未归因于任何已知的威胁行为者或组织。
EMERALDWHALE 采用的工具集使用广泛的 IP 地址范围以具有公开的 Git 存储库配置文件的服务器为目标,允许发现相关主机以及凭据提取和验证。
这些被盗的令牌随后用于克隆公有和私有存储库,并获取源代码中嵌入的更多凭据。捕获的信息最终上传到 S3 存储桶。
威胁行为者用来实现其目标的两个主要程序是 MZR V2 和 Seyzo-v2,它们在地下市场上出售,并且能够接受 IP 地址列表作为扫描和利用暴露的 Git 存储库的输入。
这些列表通常是使用 Google Dorks 和 Shodan 等合法搜索引擎以及 MASSCAN 等扫描实用程序编译的。
更重要的是,Sysdig 的分析发现,一个包含超过 67,000 个 URL 的列表,其中暴露了路径“/.git/config”,正在通过 Telegram 以 100 美元的价格出售,这表明 Git 配置文件存在市场。
“EMERALDWHALE 除了针对 Git 配置文件外,还针对暴露的 Laravel 环境文件,”Sysdig 研究员 Miguel Hernández 说。“.env 文件包含大量凭据,包括云服务提供商和数据库。”
“凭证的地下市场正在蓬勃发展,尤其是云服务。这次攻击表明,仅靠密钥管理不足以保护环境。
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
原文始发于微信公众号(信息安全大事件):大规模 Git Config 泄露暴露了 15,000 个凭据;克隆了 10000 个私有存储库
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论