Siber güvenlik araştırmacıları, hassas Git yapılandırmalarını hedef alan ve kimlik bilgilerini ele geçiren, özel depoları kopyalayan ve kaynak kodundan bulut kimlik bilgilerini çıkaran “büyük ölçekli” bir kampanyayı tespit etti.
EMERALDWHALE kod adlı bu faaliyet kapsamında, 10.000’den fazla özel deponun ele geçirildiği ve önceden mağdur olan bir kuruluşa ait Amazon S3 depolama alanına yüklendiği tahmin ediliyor. İçerisinde en az 15.000 çalıntı kimlik bilgisinin bulunduğu bu depolama alanı, Amazon tarafından devre dışı bırakıldı.
Sysdig tarafından hazırlanan bir raporda, “Çalınan kimlik bilgileri bulut hizmet sağlayıcıları (CSP’ler), e-posta sağlayıcıları ve diğer hizmetlere ait” denildi. “Kimlik bilgilerini çalmanın ana amacı, genellikle oltalama ve spam saldırıları olarak görülüyor.” Çok yönlü bu suç operasyonu sofistike olmasa da, kimlik bilgilerini çalmak ve Git yapılandırma dosyalarını, Laravel .env dosyalarını ve ham web verilerini kazımak için bir dizi özel aracı kullanıyor. Henüz bilinen bir tehdit aktörüne ya da gruba atfedilmedi.
Geniş IP adres aralıklarını kullanarak açık Git yapılandırma dosyalarına sahip sunucuları hedefleyen EMERALDWHALE tarafından kullanılan araç seti, ilgili ana bilgisayarların keşfedilmesine, kimlik bilgilerinin çıkarılmasına ve doğrulanmasına olanak tanıyor.
Bu çalınan kimlik doğrulama jetonları, kamuya açık ve özel depoların kopyalanması ve kaynak koda gömülü daha fazla kimlik bilgisinin ele geçirilmesi için kullanılıyor. Toplanan bilgiler, sonrasında S3 deposuna yükleniyor. Tehdit aktörünün amaçlarını gerçekleştirmek için kullandığı iki önemli program MZR V2 ve Seyzo-v2 olup, bu programlar yer altı pazarlarında satılıyor ve tarama ve açık Git depolarının kötüye kullanımı için IP adres listelerini kabul edebiliyor.
Bu listeler genellikle Google Dorks, Shodan gibi meşru arama motorları ve MASSCAN gibi tarama araçları kullanılarak derleniyor. Ayrıca, Sysdig’in analizinde, “/.git/config” yolu açık olan 67.000’den fazla URL içeren bir listenin Telegram üzerinden 100 dolara satıldığını ortaya koydu; bu da Git yapılandırma dosyalarının ticaretine dair bir piyasanın varlığını gösteriyor.
Sysdig araştırmacısı Miguel Hernández, “EMERALDWHALE, Git yapılandırma dosyalarının yanı sıra açıkta kalan Laravel çevre dosyalarını da hedef aldı,” dedi. “.env dosyaları, bulut hizmet sağlayıcıları ve veritabanları dahil olmak üzere zengin kimlik bilgileri içeriyor.”
“Hizmet kimlik bilgilerinin yeraltı piyasası patlama yaşıyor, özellikle bulut hizmetleri için. Bu saldırı, yalnızca sır yönetiminin bir ortamı güvence altına almak için yeterli olmadığını gösteriyor.”