MUT-1244 olarak takip edilen bir tehdit aktörü, truva atı haline getirilmiş bir WordPress kimlik bilgileri denetleyicisi kullanarak diğer tehdit aktörlerini hedef alan büyük ölçekli, yıl boyu süren bir kampanyada 390.000’den fazla WordPress kimlik bilgisini çaldı.
Saldırıları tespit eden Datadog Güvenlik Laboratuarları’ndaki araştırmacılar, SSH özel anahtarlarının ve AWS erişim anahtarlarının aynı zamanda kırmızı ekip çalışanları, sızma test uzmanları, güvenlik araştırmacıları ve kötü niyetli aktörler de dahil olmak üzere yüzlerce başka kurbanın ele geçirilen sistemlerinden çalındığını söylüyor. .
Kurbanlara, düzinelerce truva atı haline getirilmiş GitHub deposu aracılığıyla iletilen aynı ikinci aşama veri kullanılarak, bilinen güvenlik açıklarını hedef alan kötü niyetli kavram kanıtlama (PoC) saldırıları ve hedefleri sahte bir çekirdek yükseltmesi yüklemeye yönlendiren bir kimlik avı kampanyası kullanılarak bu virüs bulaştı. CPU mikrokod güncellemesi.
Kimlik avı e-postaları, kurbanları kötü amaçlı yazılımı yükleyen komutları çalıştırmaları için kandırırken, sahte depolar, belirli güvenlik açıkları için yararlanma kodu arayan güvenlik profesyonellerini ve tehdit aktörlerini kandırdı.
Tehdit aktörleri geçmişte araştırmacıları hedef alarak değerli araştırmaları çalmayı veya siber güvenlik firmalarının ağlarına erişim sağlamayı umarak sahte kavram kanıtlama saldırıları kullanmıştı.
Araştırmacılar, “Adlandırmaları nedeniyle, bu depoların birçoğu otomatik olarak Feedly Tehdit İstihbaratı veya Vulnmon gibi meşru kaynaklara, bu güvenlik açıklarına yönelik kavram kanıtı depoları olarak dahil ediliyor” dedi. birinin onları yönetmesi ihtimali var.”
Yükler, arka kapılı yapılandırma derleme dosyaları, kötü amaçlı PDF dosyaları, Python bırakıcıları ve projelerin bağımlılıklarında yer alan kötü amaçlı npm paketleri dahil olmak üzere birden fazla yöntem kullanılarak GitHub depoları aracılığıyla bırakıldı.
Datadog Security Labs’ın tespitine göre bu kampanya, “hpc20235/yawp” GitHub projesinin “0xengine/xmlrpc” npm paketindeki kötü amaçlı kod kullanılarak truva atı haline getirildiği bir yıl süren tedarik zinciri saldırısıyla ilgili Kasım Checkmarkx raporunda vurgulanan kampanyayla örtüşüyor verileri çalmak ve Monero kripto para birimini çıkarmak için.
Bu saldırılarda dağıtılan kötü amaçlı yazılımlar arasında bir kripto para madencisi ve MUT-1244’ün özel SSH anahtarlarını, AWS kimlik bilgilerini, ortam değişkenlerini ve “~/.aws” gibi anahtar dizin içeriklerini toplayıp sızdırmasına yardımcı olan bir arka kapı yer alıyor.
Ayrı bir platformda barındırılan ikinci aşama veri, saldırganların verileri Dropbox ve file.io gibi dosya paylaşım hizmetlerine sızdırmasına olanak tanıdı; araştırmacılar, veri yükü içinde bu platformlar için sabit kodlanmış kimlik bilgileri buldu ve saldırganların dosyaya kolayca erişmesini sağladı. çalıntı bilgi.
.jpg)
“MUT-1244, WordPress olduğuna inanılan 390.000’den fazla kimlik bilgilerine erişim sağlamayı başardı. Bu kimlik bilgilerinin Dropbox’a sızmadan önce, bunları muhtemelen yasa dışı yollarla elde eden saldırgan aktörlerin elinde olduğunu büyük bir güvenle değerlendiriyoruz. ,” Datadog Güvenlik Laboratuvarı araştırmacıları dedi.
“Bu aktörler daha sonra bu kimlik bilgilerinin geçerliliğini kontrol etmek için kullandıkları yawpp aracı aracılığıyla ele geçirildi. MUT-1244, yawpp’i WordPress için bir “kimlik bilgisi denetleyicisi” olarak tanıttığından, bir dizi çalıntı kimlik bilgilerine sahip bir saldırganın (bunlar Genellikle tehdit aktörlerinin operasyonlarını hızlandırmanın bir yolu olarak yer altı pazarlarından satın alınanlar), bunları doğrulamak için yawpp’i kullanır.”
Saldırganlar, hedeflerin bilmeden tehdit aktörünün kötü amaçlı yazılımını çalıştırdıktan sonra hem beyaz şapkalı hem de siyah şapkalı bilgisayar korsanlarına ait düzinelerce makineyi tehlikeye atmak için siber güvenlik topluluğu içindeki güveni başarıyla istismar etti ve bu da SSH anahtarlarını, AWS erişim belirteçlerini ve komut geçmişlerini içeren veri hırsızlığına yol açtı.
Datadog Security Labs, devam eden kampanyanın bir parçası olarak yüzlerce sistemin güvenliğinin ihlal edildiğini ve diğerlerine hâlâ virüs bulaştığını tahmin ediyor.