Sophos X-OPS araştırmacıları, e-posta adresi ile ilişkili tek bir tehdit oyuncusu tarafından düzenlenmiş kötü niyetli arka kapılarla bağlanmış 140’tan fazla Github depolarını tanımladılar.[at]rambler[.]Ru.
Başlangıçta, “sofistike önleme önleme yetenekleri” için lanse edilen sözde açık kaynaklı bir kötü amaçlı yazılım olan Sakura Rat ile ilgili bir müşteri sorgulamasıyla ateşlendi, soruşturma çok daha geniş ve daha sinsi bir kampanya ortaya koydu.
Backdoured depolardan oluşan bir ağın ortaya çıkması
Sakura sıçanının kendisi amaçlanan amacı için işlevsel olmadığını kanıtladı, ancak deposu, tipik kurbanları hedeflememek için tasarlanmış gizli kötü amaçlı kodları değil, acemi siber suçlular ve hileler arayan oyuncuları barındırdı.
.png
)
Kendi türlerini hedefleyen bu taktik pivot tehdidi aktörleri, siber suç ekosisteminde büyüyen bir kavga eğiliminin altını çiziyor, burada hackerların bile aldatmacadan güvenli olmadığı.
Daha derine inen ekip, tanımlanan 141’den 133 geri yüklenmiş depo ortaya çıkardı ve dört farklı türden arka plan kullandı: Visual Basic proje dosyalarında, Python komut dosyaları, ekran koruyucu (.scr) dosyalarında, çözüm dosyaları ve javascript yükleri.
111 depoda bulunan önceden yapılandırıcı arka kapı, çok aşamalı bir enfeksiyon zincirini yürütmek için .vbproj dosyalarındaki kodlanmış parti komutlarını kaldırır.
Bu, bir PowerShell komut dosyası oluşturan ve sonuçta GitHub sürümlerinden SearchFilter.7Z adlı kötü niyetli bir 7z arşivi indiren bir VBS komut dosyasıyla başlar.
Sofistike enfeksiyon zincirleri
Sabit kodlanmış bir şifre kullanılarak çıkarıldıktan sonra, Infostealers’ı ve Asyncrat, Remcos ve Lumma Stealer gibi sıçanları yerleştiren elektron tabanlı bir uygulama olan TeamSpackage dağıtır.
Whitespace Sabbusation aracılığıyla gizlenmiş olan Python Backroors ve JavaScript varyantları benzer şekilde Pastebin ve Glitch gibi yapıştırılan sitelerde barındırılan kodlanmış URL’lerden yola çıkıyor[.]Ben, aynı yükle doruğa ulaşıyorum.
Meşru dosyalar olarak maskelenmek için Unicode sağdan sola geçersiz kılma hilelerini kullanan ekran koruyucusu, tehdit oyuncusunun kalıcı ve gelişen taktiklerini gösteren Asyncrat ile bağlantılı geçmiş yüklere de işaret ediyor.
Bu operasyonun ölçeği şaşırtıcıdır, depolar gösteren depolar, bazılarının meşruiyeti istemek ve indirmeleri çekmek için yaklaşık 60.000’e ulaşmasını taahhüt eder.
Çoğunlukla oyun hileleri (%58) ve kötü amaçlı yazılım araçları (%24) etrafında temalı olan bu depolar, deneyimsiz tehdit aktörlerinin ve meraklı oyuncuların naifinden yararlanmaktadır.
Dağıtım muhtemelen yeraltı forumları, anlaşmazlık sunucuları ve YouTube kanalları aracılığıyla, Sakura Rat’ın medya kapsamı yoluyla yanlışlıkla amplifikasyon ile gerçekleşir.
Sophos, aktif depoları GitHub’a bildirdi, bu da orta kötü niyetli içeriğe ev sahipliği yapan site operatörlerini yapıştırma bildirimlerinin yanı sıra çoğunun yayından kaldırılmasına neden oldu.
2024’te Check Point tarafından bildirilen Stargazer Goblin Hizmet Olarak Dağıtım Operasyonu gibi önceki kampanyalara bağlantılar, bu aktörün en az 2022’den beri daha büyük bir ağın veya tekrarlayan bir suçlunun bir parçası olabileceğini düşündürmektedir.
Kod yorumlarında, şifreleme anahtarlarında ve evreleme URL’lerinde tekrarlayan “bilinmeyen” ve “muck” gibi tanımlayıcılar, kesin rolleri soruşturma altında kalmasına rağmen, tutarlı bir kişiye ipucu verir.
Bu kampanyanın karmaşıklığı, gizlenmiş enfeksiyon zincirlerinden telgraf tabanlı C2 bildirimlerine kadar, niş bir kitle arasındaki enfeksiyonları en üst düzeye çıkarmak için hesaplanmış bir çaba ortaya koyuyor.
Siber güvenlik topluluğu için, açık kaynaklı kodu titizlikle incelemek ve yalnızca izole ortamlarda doğrulanmamış depoları yürütmek için bir hatırlatma görevi görür.
Tehdit aktörleri bu tür aldatıcı stratejileri geliştirdikçe, istenmeyen kurbanlara teminat hasarı riski büyük görünür ve tüm kullanıcı gruplarında artan uyanıklık gerektirir.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun