Investigadores de ciberseguridad han detectado una campaña "masiva" que tiene como objetivo configuraciones Git expuestas para robar credenciales, clonar repositorios privados e incluso extraer credenciales de la nube del código fuente.
Se estima que la actividad, cuyo nombre en código es EMERALDWHALE, recopiló más de 10.000 repositorios privados y los almacenó en un almacenamiento de Amazon S3 que pertenecía a una víctima anterior. El depósito, que constaba de no menos de 15.000 credenciales robadas, fue eliminado por Amazon.
"Las credenciales robadas pertenecen a proveedores de servicios en la nube (CSP), proveedores de correo electrónico y otros servicios. El phishing y el spam parecen ser el objetivo principal del robo de credenciales", dijo Sysdig en un informe.
Se ha descubierto que la operación criminal multifacética, aunque no es sofisticada, aprovecha un arsenal de herramientas privadas para robar credenciales, así como para extraer archivos de configuración de Git, archivos .env de Laravel y datos web sin procesar. No se ha atribuido a ningún actor o grupo de amenazas conocido.
El conjunto de herramientas adoptado por EMERALDWHALE, que se dirige a servidores con archivos de configuración de repositorios Git expuestos mediante amplios rangos de direcciones IP, permite el descubrimiento de hosts relevantes y la extracción y validación de credenciales.
Estos tokens robados se utilizan posteriormente para clonar repositorios públicos y privados y obtener más credenciales integradas en el código fuente. La información capturada se carga finalmente en el depósito S3.
Dos programas destacados que el actor de amenazas utiliza para lograr sus objetivos son MZR V2 (MIZARU) by @kosov2 y Seyzo-v2, que se venden en mercados clandestinos y son capaces de aceptar una lista de direcciones IP como entradas para escanear y explotar repositorios Git expuestos. Estas listas se compilan normalmente utilizando motores de búsqueda legítimos como Google Dorks y Shodan y utilidades de escaneo como MASSCAN.
La herramienta descubierta incluía un README con instrucciones para seguir todo el proceso. Este es el único archivo escrito en inglés; los comentarios en scripts y otros archivos están en francés. MZR V2 está compuesto por una colección de scripts de Python y scripts de shell. El primer script, gitfinder.sh, utiliza la herramienta httpx para escanear la lista de IPs de destino. Httpx, que también fue utilizado por CRYSTALRAY, una herramienta OSS que puede escanear servidores web de una manera altamente paralelizada, lo que la hace muy eficiente.
Además, el análisis de Sysdig descubrió que una lista que comprende más de 67.000 URL con la ruta "/.git/config" expuesta se ofrece a la venta a través de Telegram por $100, lo que indica que existe un mercado para los archivos de configuración de Git.
"EMERALDWHALE, además de apuntar a los archivos de configuración de Git, también apuntó a los archivos de entorno de Laravel expuestos", dijo el investigador de Sysdig Miguel Hernández. "Los archivos .env contienen una gran cantidad de credenciales, incluidos proveedores de servicios en la nube y bases de datos".
"El mercado clandestino de credenciales está en auge, especialmente para los servicios en la nube. Este ataque demuestra que la gestión de secretos por sí sola no es suficiente para proteger un entorno".
Fuente: THN