Bl0ckch41nnewsEMERALDWHALE: credenciales robadas de archivos de configuración de Git expuestos
Investigadores de ciberseguridad han detectado una campaña «masiva» que tiene
como objetivo
configuraciones Git expuestas para robar credenciales, clonar repositorios
privados e incluso extraer credenciales de la nube del código fuente.
Se estima que la actividad, cuyo nombre en código es EMERALDWHALE, recopiló
más de 10.000 repositorios privados y los almacenó en un almacenamiento de
Amazon S3 que pertenecía a una víctima anterior. El depósito, que constaba de
no menos de 15.000 credenciales robadas, fue eliminado por Amazon.
«Las credenciales robadas pertenecen a proveedores de servicios en la nube
(CSP), proveedores de correo electrónico y otros servicios. El phishing y el
spam parecen ser el objetivo principal del robo de credenciales»,
dijo Sysdig en un informe.
Se ha descubierto que la operación criminal multifacética, aunque no es
sofisticada, aprovecha un arsenal de herramientas privadas para robar
credenciales, así como para extraer archivos de configuración de Git, archivos
.env de Laravel y datos web sin procesar. No se ha atribuido a ningún
actor o grupo de amenazas conocido.
El conjunto de herramientas adoptado por EMERALDWHALE, que se dirige a
servidores con archivos de configuración de repositorios Git expuestos
mediante amplios rangos de direcciones IP, permite el descubrimiento de hosts
relevantes y la extracción y validación de credenciales.
Estos tokens robados se utilizan posteriormente para clonar repositorios
públicos y privados y obtener más credenciales integradas en el código fuente.
La información capturada se carga finalmente en el depósito S3.
Dos programas destacados que el actor de amenazas utiliza para lograr sus
objetivos son MZR V2 (MIZARU) by @kosov2 y Seyzo-v2, que se
venden en mercados clandestinos y son capaces de aceptar una lista de
direcciones IP como entradas para escanear y explotar repositorios Git
expuestos. Estas listas se compilan normalmente utilizando motores de búsqueda
legítimos como Google Dorks y Shodan y utilidades de escaneo como
MASSCAN.
La herramienta descubierta incluía un README con instrucciones para seguir
todo el proceso. Este es el único archivo escrito en inglés; los comentarios
en scripts y otros archivos están en francés. MZR V2 está compuesto por
una colección de scripts de Python y scripts de shell. El primer
script, gitfinder.sh, utiliza la herramienta
httpx
para escanear la lista de IPs de destino. Httpx, que también fue utilizado por
CRYSTALRAY, una herramienta OSS que puede escanear servidores web de una manera
altamente paralelizada, lo que la hace muy eficiente.
Además, el análisis de Sysdig descubrió que una lista que comprende más de
67.000 URL con la ruta «/.git/config» expuesta se ofrece a la venta a
través de Telegram por $100, lo que indica que existe un mercado para los
archivos de configuración de Git.
«EMERALDWHALE, además de apuntar a los archivos de configuración de Git,
también apuntó a los archivos de entorno de Laravel expuestos», dijo el investigador de Sysdig Miguel Hernández.
«Los archivos .env contienen una gran cantidad de credenciales, incluidos
proveedores de servicios en la nube y bases de datos».
«El mercado clandestino de credenciales está en auge, especialmente para los
servicios en la nube. Este ataque demuestra que la gestión de secretos por
sí sola no es suficiente para proteger un entorno».
Fuente:
THN
Los comentarios están cerrados.