| 요약 | - ’EmeraldWhale(에메랄드웨일)’, 노출된 Git 설정 파일 스캔해 클라우드 계정 인증 정보 탈취 - IP 범위를 자동화된 툴로 스캔해 .git/config나 .env 등 민감한 정보를 포함할 가능성이 있는 설정 파일 탐색 |
| 내용 | - ’EmeraldWhale(에메랄드웨일)’ > 깃허브(GitHub), 깃랩(GitLab), 비트버킷(BitBucket) 등 주요 코드 저장소 타깃으로 해당 파일에서 API 키나 인증 토큰을 확보 > 이를 통해 추가로 저장소에 접근해 클라우드 서비스 및 이메일 서비스 인증 정보를 더 많이 확보하는 방식으로 진행 > 탈취된 인증 정보는 아마존 S3 버킷에 보관한 후 피싱, 스팸 캠페인에 사용되거나 사이버 범죄자들에게 직접 판매 - httpx와 Masscan 같은 오픈소스 도구를 사용 > 전 세계의 IP 주소 리스트를 42억 개에 이르는 파일로 준비해 약 5억 개의 IP 주소를 스캔 > 유효한 토큰을 찾으면 curl 명령어를 사용해 클라우드 API에 검증 > 접근이 가능할 경우 해당 저장소를 다운로드해 클라우드 서비스와 이메일 플랫폼의 인증 정보를 추출 > 이메일 서비스의 인증 정보는 대규모 스팸 및 피싱 공격에 활용 |
| 기타 | - |
보안뉴스
“해커, 노출된 Git 설정 파일 통해 클라우드 계정 15,000개 탈취” - 데일리시큐
대규모 사이버 공격 ’EmeraldWhale(에메랄드웨일)’이 노출된 Git 설정 파일을 스캔해 약 15,000개의 클라우드 계정 인증 정보를 탈취했다. 이 캠페인은 클라우드 보안 기업 시스디그(Sysdig)에 의해 밝
www.dailysecu.com
Massive Git Config Breach Exposes 15,000 Credentials; 10,000 Private Repos Cloned
EMERALDWHALE campaign exploits Git configurations, compromising 10,000+ repos and 15,000 credentials for phishing.
thehackernews.com
'보안뉴스' 카테고리의 다른 글
| [단독] 한국지능정보사회진흥원, 관리자계정 유출로 외교부·행안부 등 소스코드 파일 털렸다! 현재 조사중 (3) | 2024.11.11 |
|---|---|
| 친러 해킹그룹, 우크라이나 지원 빌미로 한국 공격... 랜섬웨어·디도스 주의 권고 외 2건 (0) | 2024.11.02 |
| 친러 성향 해커 ‘서버 킬러스’, 서울·인천 등 국내 CCTV 100대 이상 해킹 주장 (1) | 2024.11.01 |
| 유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다 외 3건 (1) | 2024.10.24 |
| 엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서 외 2건 (0) | 2024.10.17 |