Tehdit aktörleri, platformda depolanan çok sayıda değerli kod deposu ve hassas bilgiler nedeniyle sıklıkla GitHub kullanıcılarını hedef alıyor.
Ancak GitHub'ın işbirlikçi doğası, onu kuruluşlar ve onların geliştirme uygulamaları hakkında istihbarat toplamaya çalışan tehdit aktörlerinin gözetimi için istisnai bir hedef haline getiriyor.
G Data Defense'deki siber güvenlik analistleri yakın zamanda tehdit aktörlerinin Gitgub kampanyası aracılığıyla oturum açma bilgilerini çalmak için GitHub kullanıcılarına aktif olarak saldırdığını keşfetti.
Gitgub Kampanyası GitHub Kullanıcılarına Saldırıyor
RisePro, tersine mühendislik araçlarını çökerten şifrelenmiş dizeler ve şişirilmiş yükleyiciler kullanır. “Gitgub” 700'den fazla veri arşivini Telegram'a sızdırdı.
Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Bu RisePro hırsız kampanyasından 13 repoda README yemleri yer alıyordu. Sahte yeşil Unicode daireleri ise güncellik yanılsaması için yapı durumlarını taklit ediyordu.
Kırmızı ve yeşil daireler genellikle GitHub'daki gerçek derleme sonuçlarını gösterir.
.webp)
Aşağıdaki indirme bağlantısı depolarda aynı kalır: –
hxxps://site/INSTALLER%20PASSWORD.rar
Kullanıcı iç içe geçmiş arşivleri “GIT1HUB1FREE” şifresiyle açar. Installer_Mega_v0.7.4t.msi ilk çalıştırılabilir dosyadır.
Orca, “LBjWCsXKUz1Gwhg” şifresini kullanarak bir sonraki aşamayı açtığını ve son yükün “Installer-Ultimate_v4.3e.9b.exe” olduğunu gösteriyor.
.webp)
Installer-Ultimate_v4.3e.9b.exe 699 MB boyutundadır ve analistlerin araçlarını çökertir. PortexAnalyzer, yüksek entropili ve yer paylaşımı olmayan önemsiz bir şişkinlik gösteriyor.
Orijinal arşivin 70MB boyutu vardı ve bu da yinelenen bir modele işaret ediyordu.
.webp)
Görselleştirme, aralarında 0x2d bayt benzersiz blokların bulunduğu 0x1C0 bayt tekrarlayan blokları ortaya çıkardı. Tekrarlanan bloklar, paketten çıkarıldığında yüksek entropiyi korurken sıkıştırmayı mümkün kılar.
MICROSOFTVISUALSTUDIODEBUGGERI kaynağı 0x2b85418f baytlık veriyi şişirdi ve bu verinin kaldırılması dosyayı 699 MB'tan 3,43 MB'a düşürdü.
innoSetup imzası sahteydi ve bir .NET derlemesidir. Raporda, iki #Blob, #Strings akışının CLI spesifikasyonunu bozduğu ve her birine yalnızca bir tanesine izin verildiği, ancak #Schema akışının CLI'nin parçası olmadığı belirtiliyor.
Aynı ofsete işaret eden 1 baytlık geçersiz boyutlara sahip üç akış var ve muhtemelen ayrıştırıcıların kafasını karıştırıyor.
ModuleRef tablosu, kernel32 hariç, ad olarak sözlük kelime çiftleri içeren 727 DLL dosyasına başvuruyor. Dosya, özel bir sökücü gerektiren, sanallaştırmayla birlikte gizlenmiş .NET Reactor 6'yı kullanıyor.
.webp)
Yükleyici 176.113.115.227:56385'e bağlanır ve RisePro 1.6 hırsızını AppLaunch.exe veya RegAsm.exe'ye enjekte eder. RisePro artık xorstr kitaplığı yerine özel XOR dizisi şifre çözme özelliğini kullanıyor.
Dize uzunluğu başına birden fazla sabit kodlu şifre çözme işlevi, vektörleştirilmiş xorstr şemasının yerini alır.
Araştırmacılar, hala kullanılan bir TCP 50500 bağlantı noktası üzerinden RisePro'nun ağ verilerinin şifresini çözmek için bir Python betiği kullandı. Yapılandırma paketi yakalayıcı bileşenleri, Telegram bot API jetonunu ve mesaj şablonunu ortaya çıkardı.
.webp)
Base64 paketi sıkıştırılmış analiz makinesi verilerini içeriyordu. 700'den fazla sıkıştırılmış veri arşivi 2 Telegram kanalına aktarıldı. Kanal adları ve C2 IP'leri Rusya merkezli operasyonları akla getiriyor.
Gitgub Kampanya Depoları
Aşağıda Gitgub kampanyasına ait tüm depolardan bahsettik: –
- andreastanaj/AVAST
- andreastanaj/Ses Güçlendirici
- aymenkort1990/fabfilter
- BenWebsite/-IObit-Smart-Defrag-Crack
- Faharnaqvi/VueScan-Crack
- javisolis123/Voicemod
- lolusuary/AOMEI-Backupper
- lolusuary/Daemon-Tools
- lolusuary/EaseUS-Partition-Master
- lolusuary/SOOTHE-2
- mostofakamaljoy/ccleaner
- rik0v/ManyCam
- Roccinhu/Tenorshare-Reiboot
- Roccinhu/Tenorshare-iCareFone
- True-Oblivion/AOMEI-Bölme-Asistanı
- vaibhavshiledar/droidkit
- vaibhavshiledar/TOON-BOOM-HARMONY
IoC'ler
.webp)
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.