DataDog araştırmacıları tarafından MUT-1244 olarak takip edilen bir tehdit aktörü, AWS erişim anahtarlarını, WordPress hesabı kimlik bilgilerini ve diğer hassas verileri çalmak için akademisyenleri, pentester’ları, kırmızı ekip çalışanlarını, güvenlik araştırmacılarını ve diğer tehdit aktörlerini hedef alıyor.
MUT-1244, kimlik avı e-postaları, ClickFix taktiği ve GitHub depolarını, sahte kavram kanıtı (PoC) açıklarından yararlanan veya arka kapıya kapatılmış veya kötü amaçlı bir npm paketi içeren meşru, çalışan açıklardan yararlanma kopyalarıyla kullanıyor.
Ancak aynı zamanda biraz dikkatsiz davranarak DataDog ve Checkmarx araştırmacılarının bağlantı kurmasına ve faaliyetlerini takip etmesine izin verdiler.
Geniş ve uzun soluklu bir kampanya
MUT-1244’ün nihai hedefi, xmrdropper – bir kripto para birimi madencisini güncelleyen ve aynı zamanda arka kapı sistemlerini güncelleyen ve “sistem bilgilerini, özel SSH anahtarlarını, ortam değişkenlerini ve seçilen klasörlerin içeriğini (~/.aws gibi) dosya paylaşım hizmeti dosyasına sızdıran bir yük”[.]ıo.”
Bunu yapmak için, arXiv açık erişim arşivinde yayınlanan araştırma makalelerinden e-posta adreslerini aldılar ve – 5 Ekim’den 21 Ekim 2024’e kadar – akademisyenleri ve araştırmacıları kopyalayıp bir CPU mikrokod güncellemesi yüklemeye teşvik eden bir kimlik avı e-postası gönderdiler. sistemlerinin terminaline bir kod parçası yapıştırmak.
Kurbanlara CPU güncellemesini yüklemeleri talimatını veren kimlik avı web sayfası (Kaynak: DataDog)
“Bildiğimiz kadarıyla bu, Linux sistemlerini hedef alan belgelenmiş ilk ‘ClickFix’ tipi saldırıdır. Kurban kötü amaçlı komutu çalıştırdığında komut dosyası patch-mc-0x129.sh GitHub deposundan opencompiled-oss/çekirdek yaması DataDog araştırmacıları Christophe Tafani-Dereeper, Adrian Korn ve Matt Muir açıkladı.
Senaryo düşüyor xmrdropperitibaren https://codeberg[.]org/k0rn66/xmrdropper.
Eş zamanlı olarak, düzinelerce kötü amaçlı GitHub deposunu sahte ve/veya truva atı haline getirilmiş PoC istismar koduyla kurarak güvenlik araştırmacılarını ve saldırgan aktörleri de hedef alıyorlar. xmrdropper.
Son olarak, truva atı haline getirilmiş bir GitHub projesi de oluşturdular (hpc20235/yawpp) WordPress kimlik bilgilerinin geçerliliğini kontrol etmek için bir araç sunuyordu, ancak kullanıcıların aynı zamanda @0xengine/xmlrpc npm paketini bağımlılık olarak kullanıyorum. Paket düşecek xmrdropperve ayrıca hassas dosyaları Dropbox’a sızdırın.
Çok yönlü saldırı kampanyası (Kaynak: DataDog)
Checkmarx araştırmacılarına göre düzenli güncellemeler, görünüşte meşru işlevsellik ve stratejik bağımlılık yerleşiminin birleşimi, @0xengine/xmlrpc paket Ekim 2023’ten bu yana NPM kayıt defterinde barındırılıyor (ve kötü amaçlı olarak işaretlenmiyor!).
Kasım 2024’ün sonlarında şunları paylaştılar: “Kötü amaçlı yazılım, virüslü sistemlerde kripto para birimi madenciliği yaparken her 12 saatte bir hassas verileri (SSH anahtarları, bash geçmişi vb.) çalıyor.” Saldırganın Monero cüzdanı aracılığıyla aktif olarak kripto para birimi madenciliği yapıyorduk.”
DataDog araştırmacıları Cuma günü “Yüzlerce MUT-1244 kurbanının güvenliği ihlal edildi ve hala da edilmeye devam ediyor” uyarısında bulundu.
Her iki şirket de potansiyel kurbanların ele geçirilip geçirilmediğini kontrol etmelerine yardımcı olmak için uzlaşma göstergelerini paylaştı.