MUT-1244として追跡されている脅威行為者は、トロイの木馬化されたWordPress資格情報チェッカーを使用して、他の脅威行為者を標的とした大規模な1年間のキャンペーンで、39万以上のWordPress資格情報を盗み出しました。
この攻撃を発見したDatadog Security Labsの研究者によると、SSHプライベートキーとAWSアクセスキーも、レッドチーマー、侵入テスト担当者、セキュリティ研究者、および悪意のあるアクターが含まれると思われる数百人の被害者の侵害されたシステムから盗まれたとのことです。
被害者は、既知のセキュリティ欠陥をターゲットにした悪意のある概念実証(PoC)エクスプロイトを配信する数十のトロイの木馬化されたGitHubリポジトリを介してプッシュされた同じセカンドステージのペイロードを使用して感染し、CPUマイクロコードの更新としてカモフラージュされた偽のカーネルアップグレードをインストールするようターゲットに促すフィッシングキャンペーンも行われた。
フィッシングメールは被害者を騙してマルウェアをインストールするコマンドを実行させる一方、偽のリポジトリはセキュリティ専門家や特定の脆弱性のエクスプロイトコードを求める脅威者を騙していました。
脅威勢力は過去にも、研究者を標的にした偽のProof-of-Conceptエクスプロイトを使用し、貴重な研究を盗み出したり、サイバーセキュリティ企業のネットワークにアクセスしたりすることを狙っていた。
“そのネーミングにより、これらのリポジトリのいくつかは、Feedly Threat IntelligenceやVulnmonなどの正規のソースに、これらの脆弱性の概念実証リポジトリとして自動的に含まれている “と研究者は述べている。これにより、正当性が増し、誰かが実行する可能性が高まります」。
ペイロードは、バックドアされたconfigureコンパイルファイル、悪意のあるPDFファイル、Pythonドロッパー、プロジェクトの依存関係に含まれる悪意のあるnpmパッケージなど、複数の方法を使用してGitHubリポジトリ経由でドロップされました。
Datadog Security Labsが発見したように、このキャンペーンは、「0xengine/xmlrpc」npmパッケージ内の悪質なコードを使用してGitHubプロジェクト「hpc20235/yawp」がトロイの木馬化され、データを盗んだり、Monero暗号通貨をマイニングしたりするという、1年間にわたるサプライチェーン攻撃に関する11月のCheckmarkxレポートで強調されたものと重複しています。
これらの攻撃で展開されたマルウェアには、暗号通貨マイナーとバックドアが含まれており、MUT-1244がSSH秘密鍵、AWS認証情報、環境変数、および”~/.aws “などのキーディレクトリのコンテンツを収集し、流出させるのに役立ちました。
第2段階のペイロードは、別のプラットフォーム上でホストされ、攻撃者がDropboxやfile.ioのようなファイル共有サービスにデータを流出させることを可能にしました。調査者は、ペイロード内にこれらのプラットフォーム用のハードコードされた認証情報を発見し、攻撃者が盗まれた情報に簡単にアクセスできるようにしました。
「MUT-1244は、Wordpressと思われる39万以上の認証情報にアクセスすることができました。Datadog Security Labsの研究者は、「これらの認証情報がDropboxに流出する前に、おそらく不正な手段で取得した攻撃的なアクターの手中にあったと、私たちは高い確信を持って評価しています。
「これらの攻撃者は、これらの認証情報の有効性を確認するために使用したyawppツールを介して侵害されました。MUT-1244はyawppをWordPress用の “認証情報チェッカー “として宣伝していたため、窃盗された認証情報一式を持つ攻撃者(これは、脅威行為者の操作をスピードアップする方法として、アンダーグラウンド市場から購入されることが多い)が、それらを検証するためにyawppを使用することは驚くことではありません。
攻撃者はサイバーセキュリティ・コミュニティ内の信頼を悪用し、ターゲットが脅威行為者のマルウェアを無意識のうちに実行した後、ホワイトハットとブラックハットの両方のハッカーが所有する数十台のマシンを危険にさらすことに成功し、SSHキー、AWSのアクセストークン、コマンド履歴を含むデータの盗難につながった。
Datadog Security Labsは、数百のシステムが侵害されたままであり、他のシステムもこの進行中のキャンペーンの一部として感染し続けていると推定している。
Comments