Grėsmių veikėjas, stebimas kaip MUT-1244, pavogė daugiau nei 390 000 „WordPress“ kredencialų per didelio masto, metus trukusią kampaniją, nukreiptą į kitus grėsmės veikėjus, naudodamas Trojanizuotą „WordPress“ kredencialų tikrintuvą.
„Datadog Security Labs“ tyrėjai, pastebėję atakas, teigia, kad SSH privatūs raktai ir AWS prieigos raktai taip pat buvo pavogti iš šimtų kitų aukų, tarp kurių, kaip manoma, raudonųjų komandos narių, įsiskverbimo tikrintojų, saugumo tyrėjų ir kenkėjiškų veikėjų, sistemų. .
Aukos buvo užkrėstos naudojant tą patį antrojo etapo naudingąjį apkrovą, perkeliamą per dešimtis trojanizuotų „GitHub“ saugyklų, teikiančių kenkėjiškus koncepcijos įrodymo (PoC) išnaudojimus, nukreiptus į žinomus saugumo trūkumus, ir sukčiavimo kampaniją, skatinančią taikinius įdiegti netikrą branduolio atnaujinimą, užmaskuotą kaip. procesoriaus mikrokodo atnaujinimas.
Nors sukčiavimo el. laiškai apgaudavo aukas vykdyti komandas, kurios įdiegė kenkėjišką programą, suklastotos saugyklos apgaudinėjo saugumo specialistus ir grėsmių subjektus, ieškančius išnaudoti kodą tam tikriems pažeidžiamumams.
Grėsmių subjektai praeityje naudojo netikrus koncepcijos įrodymus, kad nusitaikytų į tyrėjus, tikėdamiesi pavogti vertingus tyrimus arba gauti prieigą prie kibernetinio saugumo įmonių tinklų.
„Dėl jų pavadinimo kelios iš šių saugyklų automatiškai įtraukiamos į teisėtus šaltinius, pvz., Feedly Threat Intelligence arba Vulnmon, kaip šių pažeidžiamumų koncepcijos įrodymo saugyklas“, – teigė mokslininkai.“ Tai padidina jų teisėtumo ir tikimybė, kad kas nors juos valdys“.
Naudingos apkrovos buvo numestos naudojant „GitHub“ atsargas, naudojant kelis metodus, įskaitant konfigūravimo kompiliavimo failus su užpakalinėmis durimis, kenkėjiškus PDF failus, „Python“ lašintuvus ir kenkėjiškus npm paketus, įtrauktus į projektų priklausomybes.
Kaip nustatė „Datadog Security Labs“, ši kampanija sutampa su kampanija, pabrėžta lapkričio mėn. „Checkmarkx“ ataskaitoje apie metus trukusią tiekimo grandinės ataką, kurios metu „hpc20235/yawp“ GitHub projektas buvo trojanizuotas naudojant kenkėjišką kodą „0xengine/xmlrpc“ npm pakete. pavogti duomenis ir iškasti Monero kriptovaliutą.
Šiose atakose įdiegta kenkėjiška programa apima kriptovaliutų kasyklą ir užpakalines duris, kurios padėjo MUT-1244 rinkti ir išfiltruoti privačius SSH raktus, AWS kredencialus, aplinkos kintamuosius ir raktų katalogų turinį, pvz., „~/.aws“.
Antrojo etapo naudingoji apkrova, priglobta atskiroje platformoje, leido užpuolikams išfiltruoti duomenis į dalijimosi failais paslaugas, pvz., „Dropbox“ ir „file.io“, o tyrėjams naudingoje apkrovoje rasta užkoduotų šių platformų kredencialų, todėl užpuolikai galėjo lengvai pasiekti pavogta informacija.
.jpg)
„MUT-1244 galėjo gauti prieigą prie daugiau nei 390 000 kredencialų, kurie, kaip manoma, yra „WordPress”. Su dideliu pasitikėjimu vertiname, kad prieš tai, kai šie kredencialai buvo perkelti į „Dropbox”, jie buvo įžeidžiančių veikėjų rankose, kurie greičiausiai juos įgijo neteisėtais būdais. “, – sakė „Datadog Security Labs“ tyrėjai.
„Tada šie veikėjai buvo pažeisti naudojant „yawpp“ įrankį, kurį jie naudojo šių kredencialų galiojimui patikrinti. Kadangi MUT-1244 reklamavo „yawpp“ kaip „WordPress“ kredencialų tikrintuvą, nenuostabu, kad užpuolikas, turintis pavogtų kredencialų rinkinį (kurie yra dažnai perkami iš požeminių rinkų, kad būtų paspartintas grėsmės veikėjų operacijas) naudotų yawpp patvirtinimui juos“.
Užpuolikai sėkmingai išnaudojo pasitikėjimą kibernetinio saugumo bendruomenėje, kad sukompromituotų dešimtis mašinų, priklausančių baltosios kepurės ir juodosios kepurės įsilaužėliams, po to, kai taikiniai nesąmoningai įvykdė grėsmės veikėjo kenkėjišką programą, dėl kurios buvo pavogti duomenys, įskaitant SSH raktus, AWS prieigos žetonus ir komandų istorijas.
„Datadog Security Labs“ apskaičiavo, kad šimtai sistemų tebėra pažeistos, o kitos vis dar užkrečiamos vykdant šią vykstančią kampaniją.
