GitHub ve FileZilla gibi meşru hizmetleri kötüye kullanarak Atomic (diğer adıyla AMOS), Vidar, Lumma (diğer adıyla LummaC2) ve Octo gibi güvenilir yazılımları taklit ederek bir dizi hırsız kötü amaçlı yazılım ve bankacılık truva atı dağıtan “çok yönlü bir kampanya” gözlemlendi. 1Password, Bartender 5 ve Pixelmator Pro.
Recorded Future’dan Insikt Group bir raporda şunları söyledi: “Birden fazla kötü amaçlı yazılım türünün varlığı, geniş bir platformlar arası hedefleme stratejisine işaret ederken, örtüşen C2 altyapısı merkezi bir komuta kurulumuna işaret ediyor; bu da muhtemelen saldırıların verimliliğini artırıyor.”
Etkinliği GitCaught adı altında izleyen siber güvenlik firması, kampanyanın yalnızca siber saldırıları düzenlemek için orijinal internet hizmetlerinin kötüye kullanıldığını vurgulamakla kalmayıp, aynı zamanda başarıyı artırmak için Android, macOS ve Windows’u hedef alan birden fazla kötü amaçlı yazılım türüne olan güveni de vurguladığını söyledi. oran.
Saldırı zincirleri, güvenliği ihlal edilmiş cihazlardan gelen hassas verileri ele geçirmek amacıyla iyi bilinen yazılımların sahte sürümlerini barındıran GitHub’da sahte profillerin ve depoların kullanılmasını gerektirir. Bu kötü amaçlı dosyalara olan bağlantılar daha sonra genellikle kötü amaçlı reklamcılık ve SEO zehirleme kampanyaları aracılığıyla dağıtılan çeşitli alan adlarına yerleştirilir.
Operasyonun arkasındaki, Bağımsız Devletler Topluluğu’ndan (BDT) Rusça konuşan tehdit aktörleri olduğundan şüphelenilen saldırganın, kötü amaçlı yazılım yönetimi ve dağıtımı için FileZilla sunucularını kullandığı da gözlemlendi.
GitHub’daki disk görüntü dosyalarının ve ilgili altyapının daha ayrıntılı analizi, saldırıların en az Ağustos 2023’ten bu yana RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot ve DarkComet RAT’ı sunmak üzere tasarlanmış daha büyük bir kampanyaya bağlı olduğunu belirledi.
Rhadamanthys bulaşma yolu, sahte uygulama web sitelerine giren kurbanların Bitbucket ve Dropbox’ta barındırılan yüklere yönlendirilmeleri nedeniyle de dikkat çekicidir; bu da meşru hizmetlerin daha geniş çapta kötüye kullanıldığına işaret eder.
Gelişme, Microsoft Tehdit İstihbaratı ekibinin, kod adı Activator olan macOS arka kapısının meşru yazılımın kırık versiyonlarını taklit eden ve Exodus ve Bitcoin-Qt cüzdan uygulamalarından veri çalan disk görüntü dosyaları aracılığıyla dağıtılan “çok aktif bir tehdit” olmaya devam ettiğini söylemesinin ardından geldi.
Teknoloji devi, “Kullanıcıdan yükseltilmiş ayrıcalıklarla çalışmasına izin vermesini ister, macOS Gatekeeper’ı kapatır ve Bildirim Merkezi’ni devre dışı bırakır” dedi. “Daha sonra, birden çok komut ve kontrol (C2) etki alanından birden fazla aşamadaki kötü amaçlı Python komut dosyalarını indirip çalıştırıyor ve kalıcılık için bu kötü amaçlı komut dosyalarını LaunchAgents klasörüne ekliyor.”