Масштабная хакерская операция EMERALDWHALE нацелена на незащищенные настройки Git-репозиториев
05/11/24
Хакеры уже украли более 15 000 учетных записей для облачных сервисов, используя скрытые инструменты для взлома конфигураций.
Киберпреступники проникали в репозитории и извлекали пароли, API-ключи и другую чувствительную информацию, которая затем сохранялась в публичном хранилище на облачном сервисе. EMERALDWHALE уже собрала данные из более 10 000 закрытых репозиториев и хранила их в Amazon S3 одного из предыдущих пострадавших, согласно Securitylab.
Основная цель хакеров — получить доступ к учетным данным облачных сервисов, электронных ящиков и других веб-сервисов. Основные цели операции — рассылка спама и фишинговые атаки, так как аккаунты на таких сервисах могут приносить существенный доход. Данные затем используются для рассылки спама и фишинговых атак. Кроме того, EMERALDWHALE зарабатывает, продавая списки украденных аккаунтов на черном рынке, так как учетные записи и пароли могут быть проданы за приличные суммы.
Все началось, когда Sysdig заметила подозрительные попытки доступа к одному из своих тестовых хранилищ. В ходе расследования было обнаружено хранилище, полное украденных данных и вредоносных инструментов. Среди них были скрипты, которые сканируют интернет на уязвимые Git-репозитории и автоматически скачивают их содержимое. Это позволило хакерам находить незащищенные файлы и извлекать оттуда информацию.
В процессе атаки также задействуются популярные инструменты, такие как httpx для массового сканирования серверов и Masscan для составления базы активных IP-адресов. Помимо всего прочего, похищенные учетные данные обрабатываются и сортируются для дальнейшего использования.
Sysdig также обнаружила инструменты MZR V2 и Seyzo-v2, используемые для взлома настроек Git и поиска данных.
- MZR V2 — это коллекция скриптов, созданных для автоматизации сканирования и анализа данных в конфигурационных файлах Git;
- Seyzo-v2 также ориентирован на сбор данных из репозиториев, но с большим акцентом на учетные записи, которые затем используются для фишинга и спама.