EmeraldWhale 从暴露的 Git 配置中窃取了 15000 个凭证 媒体
EmeraldWhale 全球攻击行动分析
关键要点
一个名为 EmeraldWhale 的骇客组织目标针对暴露的Git配置,窃取超过15000个云服务凭证。核心攻击在于利用多个配置错误的网页服务,这使得攻击者能够窃取凭证、克隆私有代码库及提取云凭证。被窃取的数据存储在之前受害者的S3桶中。这一攻击凸显了对凭证管理策略的迫切需求。日前,有报导指出,一个坏人组织名为 EmeraldWhale,他们利用暴露的Git配置展开了一场全球性的攻击行动,结果导致超过15000个云服务凭证被窃取。
据Sysdig 威胁研究团队 于10月30日的报导,该威胁行为者利用了多个配置错误的网页服务,让攻击者得以窃取凭证、克隆私有代码库,并从源代码中提取云凭证。
惊人的是,所窃取的数据存放在一个之前受害者的S3桶中。
Sysdig的研究人员表示,虽然EmeraldWhale仅仅依赖于配置错误,而非漏洞发动攻击这并非首见,但该组织的不同之处在于它的目标:暴露的Git配置文件。
以下是Sysdig研究人员如何发现EmeraldWhale攻击行动的过程:在监控Sysdig的云蜜罐时,研究人员观察到一个异常的ListBuckets调用,该调用使用了一个被攻陷的帐户。提及的S3桶s3simplisitter,并不属于Sysdig的帐户,而是属于一个未知帐户且是公开暴露的。在调查这个桶的过程中,研究人员发现了恶意工具和超过一TB的数据,其中包括被窃取的凭证和日志数据。经过分析,研究人员发现了一个多方面的攻击,包括从GitHub配置文件、Laravel env文件及原始网页数据的网页抓取。
随后,Sysdig联系了AWS报告此桶,AWS迅速将其关闭。
这些文件及其所包含的凭证提供了访问私有代码库的权限,通常这些代码库难以接触,Sysdig的研究人员解释道。在私有代码库中,开发人员可能更倾向于包含秘密信息,因为这种情况会带来虚假的安全感。
研究人员写道:“凭证的地下市场正在蓬勃发展,尤其是在云服务领域。这次攻击表明,仅仅依赖秘密管理不足以保护环境,凭证可能来源于众多不同之处。监控任何与凭证相关的身份行为已成为抵御这些威胁的必要措施。”
攻击者持续窃取凭证
这一攻击行动再一次证明了凭证依然是骇客的主要目标,Apono的联合创始人及CEO Rom Carmel表示。Carmel指出,掌握正确的凭证后,攻击者可以侵害身份并获得他们有权访问的所有资源,这为恶意行为者提供了潜在无穷的吸引目标。
极光免费加速器下载Carmel补充道:“虽然多因素认证MFA是防护已失窃凭证后身份
