Bilgisayar Korsanları Kötü Amaçlı Altyapıyı Barındırmak İçin GitHub’u Kötüye Kullanıyor

Recorded Future’ın Insikt Group’un siber güvenlik uzmanları, Bağımsız Devletler Topluluğu’ndan (CIS) Rusça konuşan tehdit aktörleri tarafından düzenlenen karmaşık bir siber suç kampanyasını ortaya çıkardı.

Bu siber suçlular, geliştiricilerin yaygın olarak güvendiği bir platform olan GitHub’u, yasal yazılım uygulamalarını taklit etmek ve çeşitli kötü amaçlı yazılım türlerini dağıtmak üzere tasarlanmış kötü amaçlı altyapıyı barındırmak için kullanıyor.

Kimliğe Bürünme ve Sızma

Tehdit aktörleri, 1Password, Bartender 5 ve Pixelmator Pro gibi popüler yazılım uygulamalarını ustalıkla taklit ederek sahte GitHub profilleri ve depoları oluşturdu.

Bunu yaparak, kullanıcıları bu uygulamaların kötü amaçlı yazılımlarla dolu sahte sürümlerini indirmeleri konusunda kandırmayı başardılar.

Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers

Bu aldatıcı strateji aracılığıyla dağıtılan başlıca kötü amaçlı yazılım türleri arasında Atomic macOS Stealer (AMOS), Vidar, Lumma ve Octo yer alıyordu.

Bu kötü amaçlı yazılım çeşitleri özellikle tehlikelidir; kullanıcıların sistemlerine sızmak ve şifreler, finansal bilgiler ve kişisel kimlik bilgileri gibi hassas verileri çalmak için tasarlanmıştır.

Bu saldırı yöntemi yalnızca siber suçluların yazılım geliştirme konusundaki derin anlayışlarını öne çıkarmakla kalmıyor, aynı zamanda kullanıcıların güvenilir olduğuna inandıkları kaynaklardan yazılım indirmeye olan güvenini de suistimal ediyor.

Koordineli Komuta ve Kontrol

Insikt Group tarafından yapılan ileri analizler, bu kötü amaçlı yazılım türlerinin izole edilmiş tehditler olmadığını ortaya çıkardı. Saldırıların etkisini en üst düzeye çıkarmak için koordineli bir çaba gösterdiklerini gösteren ortak bir komuta ve kontrol (C2) altyapısını paylaştılar.

Bu paylaşılan C2 yapısı, tehdit aktörlerinin oldukça organize bir grubun parçası olduğunu, önemli kaynaklara sahip olduğunu ve çeşitli işletim sistemleri ve cihazlarda sürekli siber saldırılar başlatma becerisine sahip olduğunu gösteriyor.

Kuruluşlara, özellikle dış kodları ortamlarına entegre ederken, kısa vadede sıkı güvenlik protokolleri uygulamaları tavsiye ediliyor.

Organizasyon çapında bir kod inceleme süreci oluşturulmalı ve koddaki olası kötü amaçlı yazılımları veya şüpheli kalıpları tespit etmek için GitGuardian, Checkmarx veya GitHub Advanced Security gibi otomatik tarama araçları kullanılmalıdır.

Şirketler, kötü amaçlı yazılım girişi için ağ geçidi görevi görebilecek, orta vadeli güvenlik iyileştirmesi için yetkisiz uygulamaları ve üçüncü taraf komut dosyalarını izlemek ve engellemek için stratejiler geliştirmelidir.

Ek olarak, Recorded Future tarafından ortaya çıkarılana benzer çok yönlü kampanyalarla etkili bir şekilde mücadele etmek için istihbarat paylaşımı ve daha geniş siber güvenlik topluluğuyla işbirliği yapmak çok önemlidir.

GitHub’un siber suçlular tarafından kötü amaçlı altyapıyı barındırmak için kötüye kullanılması, yaygın olarak güvenli olarak kabul edilenler de dahil olmak üzere dijital platformlardaki güvenlik açıklarını net bir şekilde hatırlatıyor.

Tehdit manzarasının sürekli olarak geliştiği ve daha karmaşık hale geldiği dijital çağda daha fazla dikkat ve gelişmiş güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.

Uzlaşma Göstergeleri

Alanlar:
aptonik[.]xyz
ark tarayıcısı[.]profesyonel
temizmymac[.]profesyonel
temiz atış[.]mürekkep
dekabristiney.fvds[.]ru
figma[.]enlem
uygulama var[.]enlem
ışık sütunu[.]enlem
macbarmen[.]enlem
yörüngepettystudio[.]eğlence
paralellikmasaüstü[.]profesyonel
şifre uygulaması[.]profesyonel
patrikbob100.fvds[.]ru
piksel oluşturucu[.]resimler
piksel oluşturucu[.]biz
yumruktelefonverdi[.]mağaza
yağmur yolu[.]bulut
rize[.]enlem
hizmet gemisi[.]vızıltı
setapp[.]mürekkep
yudum[.]enlem
mutlak[.]mağaza
Küçük tavşan geçişi[.]alan
snuggleapplicationswo[.]eğlence
zorlanma riski önerileri[.]mağaza
telefon kararı[.]alan
teori aparatı[.]eğlence
ultra lüks[.]vızıltı

IP Adresleri:

5.42.64[.]45
5.42.64[.]83
5.42.65[.]108
5.42.65[.]114
31.41.244[.]77
45.61.137[.]213
49.13.89[.]149
77.246.158[.]48
81.31.245[.]209
95.217.234[.]153
140.82.20[.]165
185.172.128[.]132
185.215.113[.]55
188.120.227[.]9
193.149.189[.]199
195.85.115[.]195

URL’si:
github[.]com/papinyurii33

SHA256 Karmaları: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AES Anahtarları:
3335366532396633346264303137363965376666616565313833623436353833
3534353639643261616165373137363333356136376266373265383637333666

On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free