해커들이 15,000개의 클라우드 자격 증명을 훔쳤습니다.
“EmeraldWhale”이라는 대규모 악성 작업이 수천 개의 개인 저장소에서 15,000개 이상의 클라우드 계정 자격 증명을 훔쳤습니다. 공격자는 종종 인증 토큰을 포함하는 노출된 Git 구성 파일을 악용했습니다. 도난당한 데이터는 일반적으로 Amazon S3 버킷으로 유출되며, 그 중 일부는 다른 피해자의 것입니다.
손상된 자격 증명은 피싱 및 스팸 캠페인에 사용되거나 다른 사이버 범죄자에게 판매됩니다. `/.git/config` 또는 `.gitlab-ci.yml`과 같은 Git 구성 파일에는 API 키, 액세스 토큰 및 비밀번호와 같은 민감한 정보가 포함될 수 있습니다. 웹사이트에 ‘.git’ 디렉토리가 실수로 노출되면 심각한 보안 위반이 발생할 수 있습니다.
EmeraldWhale 배후의 위협 행위자는 ‘httpx’ 및 ‘Masscan’과 같은 오픈 소스 도구를 사용하여 12,000개의 IP 범위에서 약 5억 개의 IP 주소를 검사했습니다. 그들은 Laravel 애플리케이션에서 클라우드 자격 증명과 API 키가 포함된 노출된 ‘.env’ 파일을 검색했습니다. 보안 회사 Sysdig는 EmeraldWhale이 도난당한 자격 증명 및 로깅 정보를 포함하여 약 1테라바이트의 민감한 데이터를 축적했다는 사실을 발견했습니다.
이 작업에서는 구성 파일이 노출되어 67,000개의 URL에서 15,000개의 클라우드 자격 증명이 손상되었습니다. Git 구성 파일을 가리키는 노출된 URL 목록은 Telegram과 같은 플랫폼에서 각각 약 100달러에 판매됩니다.
EmeraldWhale 작업은 Git 구성을 대상으로 합니다.
이러한 도난당한 비밀을 검증하고 수익을 창출하는 사람들은 훨씬 더 많은 재정적 이익을 얻을 수 있습니다. 이러한 위험을 완화하려면 개발자는 중요한 정보를 Git 구성 파일에 포함하는 대신 전용 비밀 관리 도구와 환경 변수를 사용하여 저장해야 합니다. **EMERALDWHALE**이라고 명명된 이 캠페인은 10,000개 이상의 개인 저장소를 수집하여 이전 피해자의 Amazon S3 스토리지 버킷에 데이터를 저장한 것으로 추정됩니다.
도난당한 자격 증명이 15,000개 이상 포함된 이 버킷은 이후 Amazon에 의해 삭제되었습니다. 사이버 보안 회사인 Sysdig는 보고서에서 “도난당한 자격 증명은 클라우드 서비스 제공업체(CSP), 이메일 제공업체 및 기타 서비스에 속합니다.”라고 밝혔습니다. “피싱과 스팸이 이러한 자격 증명을 훔치는 주요 목표인 것 같습니다.”
광범위한 IP 주소 범위에 걸쳐 Git 저장소 구성 파일이 노출된 EMERALDWHALE 대상 서버에서 사용하는 도구입니다.
이를 통해 관련 호스트를 검색하고 자격 증명을 추출 및 검증할 수 있습니다. 이 작업에 사용된 두 가지 주요 도구는 지하 시장에서 판매되는 **MZR V2** 및 **Seyzo-v2**입니다. 이러한 도구는 노출된 Git 저장소를 검색하고 활용하기 위한 입력으로 IP 주소 목록을 허용할 수 있습니다.
Sysdig의 분석에 따르면 “/.git/config” 경로가 포함된 67,000개 이상의 URL로 구성된 목록이 Telegram을 통해 100달러에 판매되고 있는 것으로 나타났습니다. 이는 Git 구성 파일 시장이 번성하고 있음을 나타냅니다. Sysdig 연구원 Miguel Hernández는 “EMERALDWHALE은 Git 구성 파일을 표적으로 삼았을 뿐만 아니라 노출된 Laravel 환경 파일도 표적으로 삼았습니다.”라고 말했습니다. “.env 파일에는 클라우드 서비스 공급자 및 데이터베이스에 대한 자격 증명을 포함하여 풍부한 자격 증명이 포함되어 있습니다.”
이번 위반은 민감한 자격 증명의 추출과 클라우드 서비스의 손상을 방지하기 위해 노출된 구성 파일을 보호하는 것이 중요함을 강조합니다.
(이것은 신디케이트된 뉴스피드에서 편집되지 않은 자동 생성된 기사입니다. 파이에듀뉴스 직원이 콘텐츠 텍스트를 변경하거나 편집하지 않았을 수 있습니다.)