По оценкам, EMERALDWHALE сумела собрать более 10 000 частных репозиториев, которые были загружены в хранилище Amazon S3, принадлежащее одной из пострадавших организаций. В этом хранилище было найдено не менее 15 000 украденных учётных данных, которые впоследствии были удалены по требованию Amazon. Среди похищенных данных были учётные записи провайдеров облачных услуг, электронной почты и других сервисов. По данным отчёта Sysdig, фишинг и рассылка спама остаются основными целями этой кражи данных.
Для достижения своих целей, EMERALDWHALE использует целый арсенал частных инструментов для извлечения конфигураций Git и необработанных данных из веб-ресурсов. Кампания пока не связана с какой-либо известной группой или преступной организацией. В ходе атаки инструменты EMERALDWHALE сканируют серверы на наличие открытых файлов конфигурации репозиториев Git, обрабатывают широкий диапазон IP-адресов для нахождения уязвимых хостов, затем извлекают и проверяют похищенные данные. Эти учётные данные используются для клонирования как публичных, так и закрытых репозиториев, что позволяет злоумышленникам захватывать дополнительные данные из исходного кода. Вся полученная информация сохраняется в контейнере S3.
Кампания EMERALDWHALE активно использует программы MZR V2 и Seyzo-v2, которые доступны на чёрном рынке. Эти программы принимают на вход списки IP-адресов и сканируют их на наличие уязвимых репозиториев Git. Для составления таких списков используются поисковые системы, такие как Google Dorks и Shodan, а также специализированные утилиты для сканирования, например, MASSCAN. Эти инструменты значительно упрощают злоумышленникам задачу нахождения открытых конфигураций.
Анализ Sysdig показал, что в Telegram продаются списки URL-адресов, содержащие открытые пути «/.git/config». Один такой список, насчитывающий более 67 000 URL, продаётся за $100, что свидетельствует о наличии активного подпольного рынка данных конфигурации Git. Это говорит о высоком спросе на подобную информацию, которую злоумышленники могут использовать для дальнейших атак.
Помимо конфигурационных файлов Git, EMERALDWHALE нацеливается на файлы среды Laravel, содержащие учётные данные облачных сервисов и баз данных. Эти файлы (например, .env) хранят конфиденциальную информацию, которая представляет большой интерес для злоумышленников. Подпольный рынок учётных данных процветает, и особо востребованы данные, касающиеся облачных сервисов и базы данных.