Gitgub Kampanyası, Giriş Kimlik Bilgilerini Çalmak İçin GitHub Kullanıcılarına Saldırıyor

   Mart 15, 2024  Posted in CyberSecurityNews


Gitgub Kampanyası, Giriş Kimlik Bilgilerini Çalmak İçin GitHub Kullanıcılarına Saldırıyor

⁤Tehdit aktörleri, platformda depolanan çok sayıda değerli kod deposu ve hassas bilgiler nedeniyle sıklıkla GitHub kullanıcılarını hedef alıyor. ⁤

Ancak ⁤GitHub'ın işbirlikçi doğası, onu kuruluşlar ve onların geliştirme uygulamaları hakkında istihbarat toplamaya çalışan tehdit aktörlerinin gözetimi için istisnai bir hedef haline getiriyor.

G Data Defense'deki siber güvenlik analistleri yakın zamanda tehdit aktörlerinin Gitgub kampanyası aracılığıyla oturum açma bilgilerini çalmak için GitHub kullanıcılarına aktif olarak saldırdığını keşfetti.

Gitgub Kampanyası GitHub Kullanıcılarına Saldırıyor

RisePro, tersine mühendislik araçlarını çökerten şifrelenmiş dizeler ve şişirilmiş yükleyiciler kullanır. “Gitgub” 700'den fazla veri arşivini Telegram'a sızdırdı.

Belge

Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması

Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :

  • Günümüzün kırılganlık yorgunluğu sorunu
  • CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
  • Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
  • Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon

Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:


Bu RisePro hırsız kampanyasından 13 repoda README yemleri yer alıyordu. Sahte yeşil Unicode daireleri ise güncellik yanılsaması için yapı durumlarını taklit ediyordu.

Kırmızı ve yeşil daireler genellikle GitHub'daki gerçek derleme sonuçlarını gösterir.

Kötü Amaçlı Depolar (Kaynak – G Veri Savunması)

Aşağıdaki indirme bağlantısı depolarda aynı kalır: –

hxxps://site/INSTALLER%20PASSWORD.rar

Kullanıcı iç içe geçmiş arşivleri “GIT1HUB1FREE” şifresiyle açar. Installer_Mega_v0.7.4t.msi ilk çalıştırılabilir dosyadır.

Orca, “LBjWCsXKUz1Gwhg” şifresini kullanarak bir sonraki aşamayı açtığını ve son yükün “Installer-Ultimate_v4.3e.9b.exe” olduğunu gösteriyor.

Orca.exe'de Installer_Mega_v0.7.4t.msi (Kaynak – G Veri Savunması)

Installer-Ultimate_v4.3e.9b.exe 699 MB boyutundadır ve analistlerin araçlarını çökertir. PortexAnalyzer, yüksek entropili ve yer paylaşımı olmayan önemsiz bir şişkinlik gösteriyor.

Orijinal arşivin 70MB boyutu vardı ve bu da yinelenen bir modele işaret ediyordu.

PortexAnalyzer görselleştirmesi (Kaynak – G Veri Savunması)

Görselleştirme, aralarında 0x2d bayt benzersiz blokların bulunduğu 0x1C0 bayt tekrarlayan blokları ortaya çıkardı. Tekrarlanan bloklar, paketten çıkarıldığında yüksek entropiyi korurken sıkıştırmayı mümkün kılar.

MICROSOFTVISUALSTUDIODEBUGGERI kaynağı 0x2b85418f baytlık veriyi şişirdi ve bu verinin kaldırılması dosyayı 699 MB'tan 3,43 MB'a düşürdü.

innoSetup imzası sahteydi ve bir .NET derlemesidir. Raporda, iki #Blob, #Strings akışının CLI spesifikasyonunu bozduğu ve her birine yalnızca bir tanesine izin verildiği, ancak #Schema akışının CLI'nin parçası olmadığı belirtiliyor.

Aynı ofsete işaret eden 1 baytlık geçersiz boyutlara sahip üç akış var ve muhtemelen ayrıştırıcıların kafasını karıştırıyor.

ModuleRef tablosu, kernel32 hariç, ad olarak sözlük kelime çiftleri içeren 727 DLL dosyasına başvuruyor. Dosya, özel bir sökücü gerektiren, sanallaştırmayla birlikte gizlenmiş .NET Reactor 6'yı kullanıyor.

Moduleref (Kaynak – G Veri Savunması)

Yükleyici 176.113.115.227:56385'e bağlanır ve RisePro 1.6 hırsızını AppLaunch.exe veya RegAsm.exe'ye enjekte eder. RisePro artık xorstr kitaplığı yerine özel XOR dizisi şifre çözme özelliğini kullanıyor.

Dize uzunluğu başına birden fazla sabit kodlu şifre çözme işlevi, vektörleştirilmiş xorstr şemasının yerini alır.

Araştırmacılar, hala kullanılan bir TCP 50500 bağlantı noktası üzerinden RisePro'nun ağ verilerinin şifresini çözmek için bir Python betiği kullandı. Yapılandırma paketi yakalayıcı bileşenleri, Telegram bot API jetonunu ve mesaj şablonunu ortaya çıkardı.

Sızdırılmış veri arşivlerine sahip Telegram kanalı (Kaynak – G Veri Savunması)

Base64 paketi sıkıştırılmış analiz makinesi verilerini içeriyordu. 700'den fazla sıkıştırılmış veri arşivi 2 Telegram kanalına aktarıldı. Kanal adları ve C2 IP'leri Rusya merkezli operasyonları akla getiriyor.

Gitgub Kampanya Depoları

Aşağıda Gitgub kampanyasına ait tüm depolardan bahsettik: –

  • andreastanaj/AVAST
  • andreastanaj/Ses Güçlendirici
  • aymenkort1990/fabfilter
  • BenWebsite/-IObit-Smart-Defrag-Crack
  • Faharnaqvi/VueScan-Crack
  • javisolis123/Voicemod
  • lolusuary/AOMEI-Backupper
  • lolusuary/Daemon-Tools
  • lolusuary/EaseUS-Partition-Master
  • lolusuary/SOOTHE-2
  • mostofakamaljoy/ccleaner
  • rik0v/ManyCam
  • Roccinhu/Tenorshare-Reiboot
  • Roccinhu/Tenorshare-iCareFone
  • True-Oblivion/AOMEI-Bölme-Asistanı
  • vaibhavshiledar/droidkit
  • vaibhavshiledar/TOON-BOOM-HARMONY

IoC'ler

IoC'ler (Kaynak – G Veri Savunması)

Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link