Mayıs ayı boyunca, bilinmeyen bir tehdit grubu, Signal mesajlaşma uygulamasındaki bir güvenlik açığı için sıfırıncı gün açığı içerdiğini iddia eden kötü amaçlı bir GitHub deposu oluşturdu. Saldırganlar, güvenlik araştırmacılarının bir dizi uydurma profiline bağlı sahte bir güvenlik şirketi — High Sierra Cyber Security — oluşturarak açıktan yararlanmanın güvenilirliğini desteklediler.
Bu, tehdit istihbaratı firması VulnCheck tarafından yürütülen ve saldırganın sahte güvenlik şirketi ve sahte istismarlar etrafında sosyal bir varlık oluşturmak için harcadığı çabanın, araştırmacıların gördüklerinden tamamen farklı bir seviyede olduğunu ortaya çıkaran araştırmaya göre. geçmiş.
VulnCheck güvenlik araştırmacısı William Vu, Dark Reading’e “GitHub depolarının gerçek kötü amaçlı yazılımla reklamını yapacak olan bu karakterlerin – bu karakterlerin her biri için, dilerseniz, kişiler oluşturmak için makul miktarda çaba harcadılar” dedi. “Dolayısıyla sahte bir güvenlik şirketi kurmak için gerçekten çok zaman ve çaba harcadılar ve bu benim için biraz yeni.”
Güvenlik araştırmacılarını hedeflemek nadirdir, ancak uzun bir geçmişi vardır. Örneğin 2021’de Google’ın Tehdit Analizi Grubu (TAG), Kuzey Kore destekli bilgisayar korsanlarının sahte bir araştırma blogu ve çok sayıda sahte Twitter profili oluşturduğu konusunda uyarıda bulundu. Google TAG’ın analizine göre, araştırmacılardan daha sonra güvenlik açığı araştırması üzerinde işbirliği yapmaları istenecek ve kabul edenlere, hedefin sistemine bulaşmak için özel kötü amaçlı yazılım çalıştıracak bir Visual Studio proje dosyası gönderilecek. Üç ay sonra, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kampanya hakkında bir uyarı yayınladı.
Mandiant tarafından Mart ayında yayınlanan araştırmaya göre, yine Kuzey Kore tarafından gerçekleştirilen benzer bir saldırı, LinkedIn hesaplarını kullanarak ve işe alma görevlisi olarak hareket ederek güvenlik araştırmacılarını hedef aldı.
Kurumsal siber risk iyileştirme hizmetleri sağlayıcısı Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, en son saldırının tedarik zincirini hedeflemek için sosyal mühendisliği de kullandığını söylüyor.
“Kötü amaçlı paketlere karşı temel savunmalardan biri, geliştiricilerin paketi indirmeden ve kullanmadan önce gerçekten incelemeleridir ve bu inceleme sürecinin bir kısmı, paketin ticari veya başka bir şekilde güvenilir bir kaynak tarafından oluşturulup oluşturulmadığını belirlemektir” diyor. . “Tehdit aktörleri bunu taklit etme konusunda iyi bir iş çıkarabilirlerse, bir kurbanın paketlerini indirmesini sağlama ve ardından gerektiği kadar yakından inceleme yapmama şansları daha yüksektir.”
GitHub, WhatsApp, Sırada Ne Var?
VulnCheck, sahte açığı barındıran proje hakkında GitHub ile iletişime geçti ve sayfa kapatıldı. VulnCheck’in araştırmacıları, danışma belgesinde, bir gün sonra, aynı grubun WhatsApp sıfır gün istismarının reklamını yapan benzer bir sayfa oluşturduğunu belirtti. Bu model devam etti ve şirket GitHub’a yeni bir sayfa bildirdiğinde, sayfa kaldırıldı, ancak yeni bir proje sayfası belirdi. Şirket, sözde bir Microsoft Exchange uzaktan kod yürütme (RCE) hatası, bir Discord sıfır günlük RCE ve diğerleri sunan sayfaların kedi-fare oyununa devam ettiğini belirtti.
Her durumda, bir açıktan yararlanma yerine, havuzdaki bir Python dosyası – hedef tarafından çalıştırılırsa – işletim sistemine özel bir ikili dosya indirir. VulnCheck, çoğu virüsten koruma programının Python komut dosyasının yüklediği Windows kötü amaçlı yazılımını tespit etmesine karşın, 62 Linux ana bilgisayar tabanlı tarayıcıdan yalnızca üçünün bu ikili programı algıladığını belirtti.
Tehdit aktörü, sayfalara bağlantılar göndermek için çeşitli sosyal medya profilleri kullandı. Vu, tekniğin yazılım geliştiricileri tedarik zincirini etkilemenin bir yolu olarak savunmasız veya kötü amaçlı bileşenleri indirmeye ikna etmenin bir yolu olarak kullanılsa da, bu saldırının güvenlik uzmanlarının kendi araştırmalarına erişim sağlama olasılığının daha yüksek olduğunu söylüyor.
“Güvenlik araştırmacıları ve test uzmanlarının genellikle kendi araştırmaları vardır ve güvenlik araştırmacılarının peşine bu şekilde gitseydim, onların gerçek sıfır gün açıklarından yararlanma önbelleğini ve erişebilecekleri her türlü kurumsal IP’yi elde etmeye çalışırdım. ” diyor.
Araç Kutusundaki En Keskin Araç Değil
KnowBe4’te güvenlik farkındalığı savunucusu Erich Kron, şirketlerin her zaman geliştiricilerini çevrimiçi kodun getirdiği riskler ve projeleri ve bilinmeyen geliştiricileri meşru olup olmadıklarını belirlemek için en iyi şekilde nasıl inceleyecekleri konusunda eğitmesi gerekirken, araştırmacıların da dikkatli olmayı öğrenmeleri gerektiğini söylüyor.
“Başkalarının yazdığı çalıştırma kodu, özellikle GitHub gibi ücretsiz ve açık web sitelerinde mevcut olduğunda, her zaman biraz risk taşır” dedi. “Bu durumda, koda bakan araştırmacılar, aslında kendi sistemlerine bulaşmak için tasarlanırken, kötü niyetli parçaların ifşa edilen bu sıfır günün bir parçası olduğunu bile varsayabilirler.”
Çoğu güvenlik araştırmacısı için biraz durum tespiti uzun bir yol kat edecektir. Vulcan Cyber’den Parkin, küçük bir araştırmanın “güvenlik araştırması”nın arkasındaki şirketin hiçbir geçmişi olmadığını ve araştırmacıların sektörde bir geçmişi olmadığını ortaya çıkaracağını söylüyor.
“Bir paket birdenbire ortaya çıktıysa ve geliştiricilerin hepsi sahnede yeni görünüyorsa? Kırmızı bayraklar,” diyor. “Üzücü olan şey şu ki, bunun henüz bir geçmişi olmayan yeni aktif araştırmacılar üzerinde bazı olumsuz etkileri olacak, ancak aynı zamanda, yeni başladıkları için geçmişi olmayan biriyle başka biri arasındaki farkı söylemek de kolay. var olmadıkları için geçmişi olmayanların.”