Sahte GitHub masaüstü istemcileri aracılığıyla kötü amaçlı yazılım dağıtmak için sarkan taahhütler aracılığıyla GitHub depolarından yararlanan gelişmiş bir kötüverizasyon kampanyası ortaya çıktı.
Bu yeni saldırı vektörü, siber suçlu taktiklerde önemli bir evrimi temsil eder ve GitHub’ın şüphesiz kullanıcıları kötü amaçlı yazılımlar indirmeye kandırmak için GitHub’ın platformuyla ilişkili güven ve meşruiyetten yararlanır.
Kampanya, kötü amaçlı yazılım yükleri için dağıtım mekanizmaları olarak hizmet veren sarkan taahhütleri içeren uzlaşmış GitHub depolarını teşvik ederek faaliyet göstermektedir.
Kullanıcılar GitHub masaüstünü tehlikeye atılmış reklamlar aracılığıyla aradıklarında, meşru görünen ancak depo yapısına gömülü gizli kötü amaçlı yazılım içeren kötü amaçlı depolara yönlendirilirler.
Saldırı, kullanıcıların GitHub’ın arayüzüne aşinalıklarından ve platformun güvenliğine olan güvenlerini artırır.
Başarılı enfeksiyon üzerine, kötü amaçlı yazılım, komuta ve kontrol sunucuları ile gizli iletişim kanallarını korurken mağdur sistemlerinde kalıcılık oluşturur.
.webp)
Ünite 42 Araştırmacılar, bu kampanyayı şüpheli GitHub depo faaliyetlerinin ve sahte GitHub masaüstü yükleyicileriyle ilişkili anormal indirme modellerinin davranışsal analizi yoluyla tanımladılar.
Gelişmiş enfeksiyon mekanizması ve yük yürütme
Kötü amaçlı yazılım, kullanıcıların meşru bir GitHub masaüstü yükleyici gibi görünen şeyleri indirdiğinde başlayan sofistike bir çok aşamalı enfeksiyon süreci kullanır.
İlk yük, işletim sistemi detayları, yüklü yazılım ve ağ yapılandırmaları dahil olmak üzere enfekte makine hakkında ayrıntılı bilgi toplayarak kapsamlı sistem keşfi gerçekleştirir.
Bu keşif verileri, bir sonraki enfeksiyon aşamasına geçmeden önce saldırgan kontrollü sunuculara derhal eklenir.
Kampanya, sistem özelliklerine dayalı koşullu yük dağıtımının kullanımında özel bir karmaşıklık göstermektedir.
PowerShell tabanlı yükler, komut ve kontrol altyapısından Netsupport Uzaktan Access Trojan’ı indirirken, yürütülebilir varyantlar algılamadan kaçmak için COM dosyası uzantılarıyla otomatik tercümanları dağıtır.
Kötü amaçlı yazılım, kayıt defteri tabanlı kalıcılık mekanizmaları oluşturur ve veri açığa çıkması için msBuild.exe ve regasm.exe gibi meşru sistem yardımcı programlarını kullanır ve kötü amaçlı etkinlikleri normal sistem işlemleriyle etkili bir şekilde harmanlar.
Tespit kaçınma teknikleri, tarayıcının uzaktan hata ayıklama özelliklerini etkinleştirmesini, Windows Defender’ı dışlama yollarının ayarlanmasını ve yük yürütme için güvenilir sistem süreçlerini kullanmayı ve geleneksel güvenlik çözümlerini bu sofistike tehdide karşı daha az etkili hale getirmeyi içerir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.