Sofistike bir kötü amaçlı yazılım dağıtım kampanyası, deneyimsiz siber suçluları ve oyun hile kullanıcılarını hedeflemek için 140’tan fazla GitHub depolarını silahlandırdı ve bu da platformdaki en büyük belgelenmiş tedarik zinciri saldırıları vakalarından birini temsil etti.
Meşru kötü amaçlı yazılım araçları ve oyun hileleri olarak maskelenen depolar, görünüşte otantik kodu derleyen kullanıcıları enfekte etmek için tasarlanmış ayrıntılı arka planlar içerir.
Kampanya, e -posta adresine bağlı depoların etrafında merkezleniyor [email protected]Kasım 2023’e kadar uzanan en eski kötü niyetli taahhütlerle.
.png
)
.webp)
Keşfedilen 141 depodan 133’ü dört ayrı enfeksiyon yöntemi kullanan, çoğunluğun oyun hileleri (%58) sunduğunu iddia ederken, diğerleri kötü amaçlı yazılım projeleri, istismar veya saldırı araçları (%24) olduğunu iddia etti.
Kalan depolar kripto para birimi araçlarına, botla ilgili projelere ve çeşitli kamu hizmetlerine odaklanmaktadır.
Sophos analistleri, başlangıçta sofistike önleme önleme özelliklerine sahip gibi görünen açık kaynaklı bir kötü amaçlı yazılım projesi olan “Sakura Rat” hakkında bir müşteri soruşturması aldıktan sonra kampanyayı belirledi.
.webp)
Soruşturma üzerine araştırmacılar, sıçanın kendisinin boş formlar ve Asyncrat’tan kopyalanan kodlar nedeniyle işlevsel olmamasına rağmen, derleme sırasında kullanıcıların cihazlarına sessizce yazılımı indirmek için tasarlanmış kötü niyetli önceden yapılanma olayları içerdiğini keşfettiler.
Bu operasyonun kapsamı ve karmaşıklığı, 2024-2025’te daha önce bildirilen hizmet olarak dağıtım operasyonlarıyla potansiyel olarak bağlantılı koordineli bir çabayı göstermektedir, ancak kanıtlar kampanyanın 2022’den beri çeşitli şekillerde var olabileceğini göstermektedir.
Tehdit oyuncusu, sık sık taahhütlerle aktif gelişme yanılsaması yaratan otomatik GitHub eylemleri iş akışları da dahil olmak üzere, bazı depolar sadece aylar önce yaratılmasına rağmen yaklaşık 60.000 adet taahhüt biriktiren birden fazla aldatma tekniği kullanıyor.
Önceden yapılandırıcı arka kapı: çok aşamalı bir enfeksiyon zinciri
111 depoda bulunan en yaygın arka kapı varyantı, proje derlemesinden önce kötü amaçlı komutlar yürütmek için Visual Studio’nun önceden yapılandırıcı olay işlevselliğini kullanıyor.
Saldırı, geliştiriciler, projenin .vbproj dosyasında gizlenen dört aşamalı karmaşık bir enfeksiyon sürecini tetikleyerek görünüşte meşru görsel temel projeler oluşturmaya çalıştıklarında başlar.
İlk aşama, önceden yapılandırılmış olay alanına gömülü ağır bir şekilde gizlenmiş bir parti komutunu içerir. Bu komut, kullanıcının geçici dizininde üç temel kodlu dizeyi içeren bir VBS komut dosyası oluşturur.
Komut dosyası daha sonra bu dizeleri birleştirir, kod çözer ve sonucu bir PowerShell komut dosyasına atlatılmış yürütme politikalarıyla yürütmeden önce yazar.
PowerShell yükü, $ Prooc değişkeninde depolanan sabit kodlu bir anahtar kullanarak sofistike bir kod çözme mekanizması uygular: “Utckt-h6 = my1_zt”.
Bu komut dosyası sürekli olarak sabit kodlu URL’leri çözen, ek kodlanmış içerik getiren ve sonuçta GitHub’dan bir 7ZIP arşivi indiren dört işlev boyunca döner.
Kötü amaçlı yazılım, mevcut 7ZIP kurulumlarını kontrol eder ve gerekirse aracı indirir ve searchFilter.exe adlı bir dosyayı çıkarmadan ve yürütmeden önce.
.webp)
Tehdit oyuncusunun kötü niyetli parti komutlarını gizlemek için HTML kodlama ve dize gizlemesini nasıl kullandığını gösteren ilk arka kapı yapısı.
Masif bir elektron uygulaması olarak teslim edilen son yük, Windows Defender’ı devre dışı bırakmak, Shadow kopyalarını silmek ve Asyncrat, Remcos ve Lumma Stealer dahil olmak üzere birden fazla bilgi çalkayı dağıtmak için tasarlanmış 17.000’den fazla satır ağır gizlenmiş JavaScript kodu içerir.
Kampanyanın kalıcılık mekanizmaları, meşru Microsoft hizmetlerini taklit eden isimlerle planlanmış görevler oluşturmayı ve antivirüs taramasından ortak analiz araçlarını hariç tutmak için kayıt defteri girişlerini manipüle etmeyi içerir.
Kötü amaçlı yazılım ayrıca, sert kodlanmış telgraf bot jetonları aracılığıyla tehdit aktörleriyle iletişim kurar ve kullanıcı adları, ana bilgisayar adları ve ağ konfigürasyonları dahil olmak üzere temel sistem bilgileriyle başarılı enfeksiyon operatörlerini otomatik olarak bilgilendirir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği