Siber güvenlik araştırmacıları, kimlik bilgilerini aktarmak, özel depoları klonlamak ve hatta bulut kimlik bilgilerini kaynak kodundan çıkarmak için açığa çıkan Git yapılandırmalarını hedefleyen “devasa” bir kampanyayı işaretledi.
Kod adı verilen etkinlik ZÜMRÜT BALİNA10.000’den fazla özel depo topladığı ve önceki bir kurbana ait bir Amazon S3 depolama paketinde saklandığı tahmin ediliyor. En az 15.000 çalıntı kimlik bilgisinin yer aldığı paket, daha sonra Amazon tarafından ele geçirildi.
Sysdig bir raporda, “Çalınan kimlik bilgileri Bulut Hizmet Sağlayıcılarına (CSP’ler), E-posta sağlayıcılarına ve diğer hizmetlere aittir.” dedi. “Kimlik avı ve spam, kimlik bilgilerinin çalınmasının birincil hedefi gibi görünüyor.”
Çok yönlü suç operasyonunun, çok karmaşık olmasa da, Git yapılandırma dosyalarını, Laravel .env dosyalarını ve ham web verilerini kazımanın yanı sıra kimlik bilgilerini çalmak için çok sayıda özel araçtan yararlandığı ortaya çıktı. Bilinen herhangi bir tehdit aktörü veya grubuyla ilişkilendirilmemiştir.
EMERALDWHALE tarafından benimsenen araç seti, geniş IP adresi aralıkları kullanarak açıkta kalan Git deposu yapılandırma dosyalarına sahip sunucuları hedefleyerek ilgili ana bilgisayarların keşfedilmesine ve kimlik bilgilerinin çıkarılmasına ve doğrulanmasına olanak tanır.
Çalınan bu jetonlar daha sonra genel ve özel depoları klonlamak ve kaynak koduna gömülü daha fazla kimlik bilgisi almak için kullanılıyor. Yakalanan bilgiler nihayet S3 klasörüne yüklenir.
Tehdit aktörünün hedeflerini gerçekleştirmek için kullandığı öne çıkan iki program, yeraltı pazarlarında satılan ve açığa çıkan Git depolarını taramak ve kullanmak için bir IP adresleri listesini girdi olarak kabul edebilen MZR V2 ve Seyzo-v2’dir.
Bu listeler genellikle Google Dorks ve Shodan gibi meşru arama motorları ve MASSCAN gibi tarama yardımcı programları kullanılarak derlenir.
Dahası, Sysdig’in analizi, “/.git/config” yolunun açığa çıktığı 67.000’den fazla URL’den oluşan bir listenin Telegram aracılığıyla 100 dolara satışa sunulduğunu buldu; bu da Git yapılandırma dosyaları için bir pazarın var olduğuna işaret ediyor.
Sysdig araştırmacısı Miguel Hernández, “EMERALDWHALE, Git yapılandırma dosyalarını hedeflemenin yanı sıra, açığa çıkan Laravel ortam dosyalarını da hedef aldı” dedi. “.env dosyaları, bulut hizmet sağlayıcıları ve veritabanları da dahil olmak üzere çok sayıda kimlik bilgisi içeriyor.”
“Kimlik bilgilerine yönelik yer altı pazarı, özellikle bulut hizmetleri açısından patlama yaşıyor. Bu saldırı, gizli yönetimin tek başına bir ortamı güvence altına almak için yeterli olmadığını gösteriyor.”