InforSec News: Vi phạm cấu hình git lớn làm lộ 15.000 thông tin đăng nhập

Top Block Position

Vi phạm cấu hình git lớn làm lộ 15.000 thông tin đăng nhập

Các nhà nghiên cứu an ninh mạng đã đánh dấu một chiến dịch quy mô lớn nhắm vào các cấu hình Git bị lộ để lấy thông tin xác thực, sao chép kho lưu trữ riêng tư và thậm chí trích xuất thông tin xác thực cloud từ mã nguồn.

Hoạt động này có tên mã EMERALDWHALE, ước tính đã thu thập hơn 10.000 kho lưu trữ riêng tư và được lưu trữ trong nhóm lưu trữ Amazon S3 của nạn nhân trước đó. Kho chứa không dưới 15.000 thông tin đăng nhập bị đánh cắp đã bị Amazon gỡ bỏ.

Thông tin đăng nhập bị đánh cắp thuộc về Cloud Service Provider (CSP), Email Provider và các dịch vụ khác. Lừa đảo và thư rác dường như là mục tiêu chính của việc đánh cắp thông tin đăng nhập. Hoạt động độc hại, mặc dù không tinh vi, đã được phát hiện tận dụng một kho công cụ riêng tư để đánh cắp thông tin đăng nhập cũng như lấy các tệp cấu hình Git, tệp .env Laravel và dữ liệu web thô. Nó đã không được quy cho bất kỳ tác nhân hoặc nhóm đe dọa nào đã biết.

Nhắm mục tiêu các máy chủ có các tệp cấu hình kho lưu trữ Git bị lộ bằng cách sử dụng dải địa chỉ IP rộng, bộ công cụ được EMERALDWHALE áp dụng cho phép khám phá các máy chủ có liên quan và trích xuất và xác thực thông tin xác thực. Các token bị đánh cắp này sau đó được sử dụng để sao chép kho lưu trữ công khai và riêng tư và lấy thêm thông tin đăng nhập được nhúng trong mã nguồn. Thông tin thu được cuối cùng cũng được tải lên vùng lưu trữ S3.

Hai chương trình nổi bật mà tác nhân đe dọa sử dụng là MZR V2 và Seyzo-v2, được bán trên các thị trường ngầm và có khả năng chấp nhận danh sách các địa chỉ IP làm đầu vào để quét và khai thác các kho Git bị lộ. Các danh sách này được tạo bằng các công cụ tìm kiếm hợp pháp như Google Dorks và Shodan và các trình quét như MASSCAN. Hơn nữa, phân tích của Sysdig cho thấy một danh sách bao gồm hơn 67.000 URL với đường dẫn '/.git/config' bị lộ đang được chào bán qua Telegram với giá 100 USD, báo hiệu rằng tồn tại một thị trường cho các tệp cấu hình Git.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học