خانه » سرقت ۱۵۰۰۰ داده لاگین و احراز هویت توسط عملیات EmeraldWhale!

سرقت ۱۵۰۰۰ داده لاگین و احراز هویت توسط عملیات EmeraldWhale!

توسط Vulnerbyte
19 بازدید
گروه vulnerbyte - گروه والنربایت - vulnerbyte group - عملیات EmeraldWhale - فایل‌های پیکربندی Git

تیم تحقیقاتی Sysdig Threat (TRT) یک حمله سایبری بزرگ به نام EMERALDWHALE را بین ماه‌های آگوست و سپتامبر ۲۰۲۴ شناسایی کرده است که فایل‌های پیکربندی Git قابل دسترس را هدف قرار می‌دهد. این حمله منجر به سرقت بیش از 15000 داده لاگین و توکن احراز هویت سرویس ابری و همچنین کلون کردن مخازن خصوصی شده است.

دایرکتوری‌های Git حاوی اطلاعات ارزشمندی هستند. چنانچه دایرکتوری git. در دسترس هکرها قرار گیرد، آنها می‌توانند داده‌های با ارزشی در مورد تاریخچه، ساختار و اطلاعات حساس پروژه مخزن بازیابی کنند. این اطلاعات شامل پیام‌های commit (کامیت)، نام‌های کاربری، آدرس‌های ایمیل و گذرواژه‌ها یا کلیدهای API می‌باشند.

هکرها در عملیات EMERALDWHALE، چندین ابزار خصوصی را به منظور سوء استفاده از برخی سرویس‌های وب با پیکربندی اشتباه به کار گرفته‌اند. هکرها اطلاعات ربوده شده را به طور تصادفی در یک باکت S3 محافظت نشده متعلق به یکی از قربانیان، ذخیره کرده‌اند.

داده‌های ربوده شده متعلق به ارائه دهندگان سرویس ابری (CSP)، ارائه دهندگان ایمیل و سایر سرویس‌ها هستند. به نظر می‌رسد فیشینگ و هرزنامه و فروش داده‌ها به سایر مجرمان سایبری هدف اصلی این حمله باشد. هر کدام از این داده‌های لاگین و توکن‌های احراز هویت می‌توانند به قیمت صدها دلار در بازارهای زیرزمینی فروخته شوند.

هکرها برای اسکن و جمع آوری اطلاعات، از ابزارهای خودکاری مانند httpx و Masscan استفاده کرده‌اند که محدوده آدرس IP مورد نظر را اسکن می‌کنند.

هکرها برای انجام این کار، حدود 500 میلیون آدرس IP را به 12000 محدوده تقسیم کردند و با استفاده از اسکنرها بررسی نمودند که آیا فایل‌های git/config/. وenv. در برنامه‌های لاراول باز هستند یا خیر. این فایل‌ها ممکن است حاوی کلیدهای API و داده‌های احراز هویت ابری باشند.

دو برنامه کاربردی که هکرها از آن برای تحقق اهداف خود استفاده گرده‌اند، MZR V2  و Seyzo-v2 می‌باشند که در بازارهای زیرزمینی فروخته می‌شوند و می‌توانند لیستی از آدرس‌های IP را به عنوان ورودی برای اسکن و بهره برداری از مخازن Git قابل دسترس بپذیرند. این فهرست‌ها معمولاً با استفاده از موتورهای جستجوی قانونی مانند Google Dorks  و Shodan و ابزارهای اسکن مانند MASSCAN جمع‌آوری می‌شوند.

توکن‌های یافت شده در این روش برای دانلود مخازن GitHub، GitLab و BitBucket استفاده شده‌اند و سپس هکرها به دنبال داده‌های بیشتر در آنها بوده‌اند. در نهایت، داده‌های ربوده شده در باکت‌های آمازون S3 ذخیره شده‌اند.

مخازن دانلود شده مجددا برای داده‌های احراز هویت AWS، پلتفرم‌های ابری، ارائه دهندگان ایمیل و غیره اسکن می‌شوند. همانطور که گفته شد، توکن‌های احراز هویت پلتفرم‌های ایمیل توسط هکرها به منظور ارسال هرزنامه و انجام عملیات فیشینگ استفاده می‌شوند.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - عملیات EmeraldWhale - فایل‌های پیکربندی Git
زنجیره حمله عملیات EmeraldWhale

تحلیلگران Sysdig داده‌های مختلف از جمله داده‌های لاگین و توکن‌های احراز هویت، لاگ‌های مربوطه و ابزارها را در باکت S3 یکی از قربانیان کشف کردند. عملیات EmeraldWhale ظاهرا حدود 15000 داده‌ لاگین ابری را از ۶۷ هزار URL با فایل‌های پیکربندی ربوده کرده است.

۲۸ هزار مورد از این URLها مربوط به مخازن Git، شش هزار مورد حاوی توکن‌های GitHub و دو هزار مورد دیگر حاوی داده‌های لاگین معتبر بودند.

هکرها علاوه بر GitHub، GitLab و BitBucket، به حدود 3500 مخزن متعلق به تیم‌های کوچک و توسعه دهندگان خصوصی نیز دست یافتند.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - عملیات EmeraldWhale - فایل‌های پیکربندی Git
میزان نفوذ به مخازن GitHub، GitLab و BitBucket

فایل‌های پیکربندی Git  (مانند git/config/. یا gitlab-ci.yml/.) برای تعریف تنظیمات مختلف استفاده می‌شوند و گاهی اوقات حاوی داده‌های احراز هویت مانند کلیدهای API، توکن‌های دسترسی و رمز عبور هستند. اغلب، توسعه‌دهندگان از چنین توکن‌هایی در مخازن خصوصی صرفاً برای راحتی کار خود، استفاده می‌کنند تا انتقال داده‌ها و تعامل با APIها بدون نیاز به پیکربندی یا احراز هویت مجدد آسان‌تر شود.

تا زمانی که مخزن به درستی ایزوله شده باشد و در دسترس عموم نباشد، چنین اقداماتی قابل انجام نیسنند. با این حال، اگر دایرکتوری git/. حاوی فایل پیکربندی اشتباه و قابل دسترس از طریق اینترنت باشد، هکرها می‌توانند به راحتی آن را با استفاده از اسکنر، شناسایی کنند.

لازم به ذکر است که توکن‌ها با استفاده از دستورات curl در برابر APIهای مختلف تأیید می‌شوند و در صورت معتبر بودن، برای آپلود مخازن خصوصی مورد استفاده قرار می‌گیرند.

عملیات EMERALDWHALE، علاوه بر نفوذ به فایل‌های پیکربندی Git، فایل‌های محیط لاراول (Laravel ) را نیز مورد هدف قرار داده است. لاراول، یک فریمورک PHP است که در سال‌های اخیر مورد توجه هکرها قرار گرفته است و آسیب‌پذیری‌ها، نفوذها و سوء استفاده‌های فعال از آن به طور گسترده توسط CISA و Unit42 گزارش شده است. فایل‌های env. حاوی تعداد زیادی داده‌ لاگین از جمله متعلق به ارائه‌دهندگان خدمات ابری و پایگاه‌های داده هستند.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - حمله لاراول - فایل‌های پیکربندی Git
حمله لاراول

اگرچه کارشناسان حمله Emeraldwhale را به هیچ گروه هک شناخته شده‌ای مرتبط نکرده‌اند، اما به نظر می‌رسد که کامنت‌های موجود در کد ابزار مهاجمان به زبان فرانسوی نوشته‌اند. توصیه می‌شود که شرکت‌ها یک پلتفرم مدیریت سطح حمله خارجی مناسب (EASM) را برای پیگیری پیکربندی‌های نادرست پیاده‌سازی کنند.

 

منبع

همچنین ممکن است دوست داشته باشید

پیام بگذارید