EmeraldWhale 全球攻击行动分析

关键要点

• 一个名为 EmeraldWhale 的骇客组织目标针对暴露的Git配置，窃取超过15,000个云服务凭证。
• 核心攻击在于利用多个配置错误的网页服务，这使得攻击者能够窃取凭证、克隆私有代码库及提取云凭证。
• 被窃取的数据存储在之前受害者的S3桶中。
• 这一攻击凸显了对凭证管理策略的迫切需求。

日前，有报导指出，一个坏人组织名为 EmeraldWhale
，他们利用暴露的展开了一场全球性的攻击行动，结果导致超过15,000个云服务凭证被窃取。

据
于10月30日的报导，该威胁行为者利用了多个配置错误的网页服务，让攻击者得以窃取凭证、克隆私有代码库，并从源代码中提取云凭证。

惊人的是，所窃取的数据存放在一个之前受害者的中。

Sysdig的研究人员表示，虽然EmeraldWhale仅仅依赖于配置错误，而非漏洞发动攻击（这并非首见），但该组织的不同之处在于它的目标：暴露的Git配置文件。

以下是Sysdig研究人员如何发现EmeraldWhale攻击行动的过程：在监控Sysdig的云蜜罐时，研究人员观察到一个异常的ListBuckets调用，该调用使用了一个被攻陷的帐户。提及的——s3simplisitter，并不属于Sysdig的帐户，而是属于一个未知帐户且是公开暴露的。在调查这个桶的过程中，研究人员发现了恶意工具和超过一TB的数据，其中包括被窃取的凭证和日志数据。经过分析，研究人员发现了一个多方面的攻击，包括从GitHub配置文件、Laravel
.env文件及原始网页数据的网页抓取。

随后，Sysdig联系了AWS报告此桶，AWS迅速将其关闭。

这些文件及其所包含的凭证提供了访问私有代码库的权限，通常这些代码库难以接触，Sysdig的研究人员解释道。在私有代码库中，开发人员可能更倾向于包含秘密信息，因为这种情况会带来虚假的安全感。

研究人员写道：“凭证的地下市场正在蓬勃发展，尤其是在云服务领域。这次攻击表明，仅仅依赖秘密管理不足以保护环境，凭证可能来源于众多不同之处。监控任何与凭证相关的身份行为已成为抵御这些威胁的必要措施。”

攻击者持续窃取凭证

这一攻击行动再一次证明了凭证依然是骇客的主要目标，Apono的联合创始人及CEO RomCarmel表示。Carmel指出，掌握正确的凭证后，攻击者可以侵害身份并获得他们有权访问的所有资源，这为恶意行为者提供了潜在无穷的吸引目标。

Carmel补充道：“虽然多因素认证（MFA）是防护已失窃凭证后身份