Massale inbreuk op Git Config onthult 15.000 inloggegevens; 10.000 privé-repo’s gekloond

Cybersecurity-onderzoekers hebben een ‘enorme’ campagne aangekondigd die zich richt op blootgestelde Git-configuraties om inloggegevens over te hevelen, privérepository’s te klonen en zelfs cloudreferenties uit de broncode te extraheren.

De activiteit, met codenaam EMERALDWALVISheeft naar schatting meer dan 10.000 privéopslagplaatsen verzameld en opgeslagen in een Amazon S3-opslagbucket van een eerder slachtoffer. De bucket, bestaande uit maar liefst 15.000 gestolen inloggegevens, is inmiddels door Amazon afgebroken.

“De gestolen inloggegevens zijn eigendom van Cloud Service Providers (CSP’s), e-mailproviders en andere diensten”, aldus Sysdig in een rapport. “Phishing en spam lijken het voornaamste doel te zijn bij het stelen van de inloggegevens.”

Deze veelzijdige criminele operatie, hoewel niet geavanceerd, blijkt gebruik te maken van een arsenaal aan privétools om inloggegevens te stelen en Git-configuratiebestanden, Laravel .env-bestanden en onbewerkte webgegevens te schrapen. Het is niet toegeschreven aan een bekende dreigingsactoren of -groep.

Door zich te richten op servers met blootgestelde Git-repository-configuratiebestanden die gebruik maken van brede IP-adresbereiken, maakt de toolset van EMERALDWHALE het ontdekken van relevante hosts en het extraheren en valideren van inloggegevens mogelijk.

Deze gestolen tokens worden vervolgens gebruikt om openbare en privéopslagplaatsen te klonen en meer inloggegevens te bemachtigen die in de broncode zijn ingebed. De vastgelegde informatie wordt uiteindelijk geüpload naar de S3-bucket.

Massale inbreuk op Git-configuratie

Twee prominente programma’s die de bedreigingsacteur gebruikt om zijn doelen te verwezenlijken zijn MZR V2 en Seyzo-v2, die op ondergrondse marktplaatsen worden verkocht en in staat zijn een lijst met IP-adressen te accepteren als invoer voor het scannen en exploiteren van blootgestelde Git-opslagplaatsen.

Deze lijsten worden doorgaans samengesteld met behulp van legitieme zoekmachines zoals Google Dorks en Shodan en scanprogramma’s zoals MASSCAN.

Bovendien bleek uit de analyse van Sysdig dat een lijst met meer dan 67.000 URL’s met het pad “/.git/config” te koop wordt aangeboden via Telegram voor $100, wat aangeeft dat er een markt bestaat voor Git-configuratiebestanden.

“EMERALDWHALE richtte zich niet alleen op Git-configuratiebestanden, maar richtte zich ook op blootgestelde Laravel-omgevingsbestanden”, zei Sysdig-onderzoeker Miguel Hernández. “De .env-bestanden bevatten een schat aan referenties, waaronder cloudserviceproviders en databases.”

“De ondergrondse markt voor inloggegevens bloeit, vooral voor clouddiensten. Deze aanval laat zien dat geheim beheer alleen niet voldoende is om een ​​omgeving te beveiligen.”

Thijs Van der Does