قام أحد ممثلي التهديد الذي تم تتبعه باسم MUT-1244 بسرقة أكثر من 390.000 من بيانات اعتماد WordPress في حملة واسعة النطاق استمرت لمدة عام واستهدفت جهات تهديد أخرى باستخدام مدقق بيانات اعتماد WordPress الذي تم اختراقه.
يقول الباحثون في Datadog Security Labs، الذين اكتشفوا الهجمات، إن مفاتيح SSH الخاصة ومفاتيح الوصول إلى AWS سُرقت أيضًا من الأنظمة المخترقة لمئات الضحايا الآخرين، الذين يُعتقد أنهم من بينهم أعضاء الفريق الأحمر، ومختبرو الاختراق، والباحثون الأمنيون، بالإضافة إلى الجهات الفاعلة الخبيثة. .
تم إصابة الضحايا باستخدام نفس حمولة المرحلة الثانية التي تم دفعها عبر العشرات من مستودعات GitHub المصابة بأحصنة طروادة والتي تقدم عمليات استغلال ضارة لإثبات المفهوم (PoC) استهدفت عيوبًا أمنية معروفة، إلى جانب حملة تصيد تصيدية تطالب الأهداف بتثبيت ترقية مزيفة للنواة مموهة باسم تحديث الرمز الصغير لوحدة المعالجة المركزية.
في حين أن رسائل البريد الإلكتروني التصيدية خدعت الضحايا لتنفيذ أوامر تثبيت البرامج الضارة، فقد خدعت المستودعات المزيفة متخصصي الأمن والجهات الفاعلة في مجال التهديد الذين يبحثون عن أكواد استغلال لنقاط ضعف محددة.
وقد استخدمت الجهات الفاعلة التهديد”tooltip_parent” data-stringify-link=”https://www.bleepingcomputer.com/news/security/thousands-of-github-repositories-deliver-fake-poc-exploits-with-malware/” تأخير=”150″ href=”https://www.bleepingcomputer.com/news/security/thousands-of-github-repositories-deliver-fake-poc-exploits-with-malware/” rel=”nofollow noopener noreferrer” الهدف=”_blank”> عمليات استغلال وهمية لإثبات المفهومفي الماضي لاستهداف الباحثين، على أمل سرقة أبحاث قيمة أو الوصول إلى شبكات شركات الأمن السيبراني.
“Due to their naming, several of these repositories are automatically included in legitimate sources, such as Feedly Threat Intelligence or Vulnmon, as proof-of-concept repositories for these vulnerabilities,” قال الباحثون.” This increases their look of legitimacy and the likelihood that someone will run them.”
تم إسقاط الحمولات عبر GitHub repos باستخدام طرق متعددة، بما في ذلك ملفات تجميع التكوين الخلفية، وملفات PDF الضارة، وقطارات Python، وحزم npm الضارة المضمنة في تبعيات المشاريع.
وكما وجدت Datadog Security Labs، فإن هذه الحملة تتداخل مع حملة تم تسليط الضوء عليها في ملف”https://checkmarx.com/blog/dozens-of-machines-infected-year-long-npm-supply-chain-attack-combines-crypto-mining-and-data-theft/” الهدف=”_blank” rel=”nofollow noopener”>تقرير Checkmarkx لشهر نوفمبر حول هجوم على سلسلة التوريد لمدة عام والذي تم فيه “hpc20235/yawp” تعرض مشروع GitHub لفيروس طروادة باستخدام تعليمات برمجية ضارة في ملف “0xengine/xmlrpc” حزمة npm لسرقة البيانات وتعدين عملة Monero المشفرة.
تتضمن البرامج الضارة المنتشرة في هذه الهجمات أداة تعدين للعملات المشفرة وبابًا خلفيًا ساعد MUT-1244 في جمع وتصفية مفاتيح SSH الخاصة وبيانات اعتماد AWS ومتغيرات البيئة ومحتويات الدليل الرئيسية مثل “~/.aws.”
سمحت حمولة المرحلة الثانية، المستضافة على منصة منفصلة، للمهاجمين بتسريب البيانات إلى خدمات مشاركة الملفات مثل Dropbox وfile.io، حيث عثر المحققون على بيانات اعتماد مشفرة لهذه المنصات داخل الحمولة، مما يتيح للمهاجمين الوصول بسهولة إلى المعلومات المسروقة.
“MUT-1244 was able to gain access to over 390,000 credentials, believed to be WordPress ones. We assess with high confidence that before these credentials were exfiltrated to Dropbox, they were in the hands of offensive actors, who likely acquired them through illicit means,”الباحثون في مختبرات Datadog الأمنية”https://securitylabs.datadoghq.com/articles/mut-1244-targeting-offensive-actors/” الهدف=”_blank” rel=”nofollow noopener”> قال.
“These actors were then compromised through the yawpp tool they used to check the validity of these credentials. Since MUT-1244 advertised yawpp as a “مدقق أوراق الاعتماد” for WordPress, it’s no surprise that an attacker with a set of stolen credentials (which are often purchased from underground markets as a way to speed up threat actor operations) would use yawpp to validate them.”
نجح المهاجمون في استغلال الثقة داخل مجتمع الأمن السيبراني لاختراق العشرات من الأجهزة التابعة لكل من قراصنة القبعة البيضاء والسوداء بعد أن نفذت الأهداف البرامج الضارة لممثل التهديد دون قصد، مما أدى إلى سرقة البيانات التي تضمنت مفاتيح SSH، ورموز الوصول إلى AWS، وتاريخ الأوامر.
وتشير تقديرات Datadog Security Labs إلى أن مئات الأنظمة لا تزال معرضة للخطر، بينما لا تزال أنظمة أخرى تتعرض للإصابة كجزء من هذه الحملة المستمرة.