Новости MUT-1244 против своих: как хакеры убирают конкурентов через GitHub

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Популярная площадка стала ареной битвы за данные.


wm5snqe79mcy64m20l4jwfsuuqiqvpza.jpg


Группировка MUT-1244 похитила более 390 000 учетных данных WordPress в ходе атаки, длившейся более года. Вредоносная кампания была направлена не только на обычных пользователей, но и на других киберпреступников, которые использовали зараженные программы для проверки логинов и паролей.

По Для просмотра ссылки Войди или Зарегистрируйся Datadog Security Labs, злоумышленники также украли закрытые SSH-ключи и ключи доступа AWS. Среди пострадавших — специалисты по тестированию безопасности, исследователи, участники Red Team , а также другие хакеры.

Для атаки использовались фальшивые репозитории на GitHub , где размещались эксплойты под видом доказательств концепций (Proof-of-Concept, PoC), нацеленные на известные уязвимости. Кроме того, жертвам рассылали фишинговые письма с предложением установить обновление ядра системы, якобы улучшая работу процессора. На самом деле под видом обновления устанавливалось вредоносное ПО.

Многие ИБ-специалисты и хакеры, не подозревая о рисках, загружали файлы, надеясь найти полезные коды для работы. Вредоносные репозитории выглядели убедительно, их названия даже автоматически добавлялись в ленты проверенных источников (например, Feedly Threat Intelligence или Vulnmon), что повышало доверие к каталогам.

Вредоносные файлы распространялись через репозитории GitHub с использованием нескольких методов, включая зараженные конфигурационные файлы для компиляции программ, вредоносные PDF-файлы, дропперы на Python и вредоносные npm-пакеты, включенные в зависимости проектов.

Использованная хакерами программа включает в себя майнер криптовалюты и бэкдор, который помог MUT-1244 собрать и извлечь закрытые SSH-ключи, учетные данные AWS, переменные среды и содержимое ключевых каталогов, включая «~/.aws».

Полезная нагрузка второго этапа, размещенная на отдельной платформе, позволила злоумышленникам перенести данные на Dropbox и file.io, причем в полезной нагрузке были жестко запрограммированные учетные данные для данных платформ, что предоставило киберпреступникам легкий доступ к украденной информации.

По оценке Datadog Security Labs, сотни систем остаются зараженными, а заражение продолжается. Эксперты предупреждают о необходимости повышенного внимания при использовании репозиториев и PoC-эксплоитов, чтобы избежать подобных атак в будущем.
 
Источник новости
www.securitylab.ru

Похожие темы