Stručnjaci za sajber bezbjednost iz grupe Insikt kompanije Recorded Future otkrili su sofisticiranu kampanju sajber kriminala koju su organizovali hakeri koje govore ruski iz Zajednice nezavisnih država (ZND).
Ovi sajber kriminalci eksploatišu GitHub, platformu u koju programeri imaju široko povjerenje, da ugosti malicioznu infrastrukturu dizajniranu da se lažno predstavlja u legitimnim softverskim aplikacijama i distribuiše različite vrste malvera.
Lažno predstavljanje i infiltracija
Hakeri su kreirali lažne GitHub profile i riznice, vješto imitirajući popularne softverske aplikacije kao što su 1Password, Bartender 5 i Pixelmator Pro.
Na taj način su uspjeli da prevare korisnike da preuzmu falsifikovane verzije ovih aplikacija, koje su bile prožete malverom.
Primarni tipovi malvera koji se distribuiše kroz ovu obmanjujuću strategiju uključivali su Atomic macOS Stealer (AMOS), Vidar, Lumma i Octo.
Ove varijante malvera su posebno opasne, dizajnirane da se infiltriraju u sisteme korisnika i ukradu osjetljive podatke, kao što su lozinke, finansijske informacije i lične identifikacione podatke.
Ovaj metod napada ne samo da ističe duboko razumijevanje sajberkriminalaca o razvoju softvera, već i iskorištava povjerenje korisnika u preuzimanje softvera sa izvora za koje vjeruju da su pouzdani.
Koordinisana komanda i kontrola
Dalja analiza grupe Insikt otkrila je da ove varijante malvera nisu izolovane prijetnje. Dijelili su zajedničku infrastrukturu za komandu i kontrolu (C2), što ukazuje na koordinisani napor da se maksimizuje uticaj napada.
Ova zajednička postavka C2 sugeriše da su hakeri dio visoko organizovane grupe, koja posjeduje značajne resurse i sposobnost pokretanja trajnih sajber napada na različite operativne sisteme i uređaje.
Organizacijama se savjetuje da implementišu rigorozne bezbjednosne protokole u kratkom roku, posebno kada integrišu spoljni kod u svoje okruženje.
Trebalo bi uspostaviti proces pregleda koda u cijeloj organizaciji i koristiti automatizovane alate za skeniranje kao što su GitGuardian, Checkmark ili GitHub Advanced Security za otkrivanje potencijalnog malvera ili sumnjivih obrazaca u kodu.
Kompanije bi trebalo da razviju strategije za nadgledanje i blokiranje neovlašćenih aplikacija i skripti trećih strana za srednjoročno poboljšanje bezbjednosti, koje bi mogle poslužiti kao kapije za ulazak malicioznog softvera.
Pored toga, dijeljenje obavještajnih podataka i saradnja sa širom zajednicom sajber bezbjednosti je od ključnog značaja za efikasnu borbu protiv višestrukih kampanja poput one koju je otkrio Recorded Future.
Zloupotreba GitHub-a od strane sajber kriminalaca za hostovanje maliciozne infrastrukture oštar je podsetnik na ranjivosti unutar digitalnih platformi, čak i onih koje se smatraju bezbjednim.
On naglašava potrebu za povećanom budnošću i poboljšanim mjerama bezbjednosti u digitalnom dobu, kada se okruženje prijetnji stalno razvija i postaje sofisticiranije.
Indikatori kompromisa
Domeni:
- aptonski[.]kiz
- arcbrovser[.]pro
- cleanmimac[.]pro
- cleanshot[.]ink
- dekabristinei.fvds[.]ru
- figma[.]lat
- iina-app[.]lat
- lightpillar[.]lat
- macbartender[.]lat
- orbitpettistudio[.]fun
- parallelsdesktop[.]pro
- passvord-app[.]pro
- patrikbob100.fvds[.]ru
- pikelmator[.]pics
- pikelmator[.]us
- punchtelephoneverdi[.]store
- rainway[.]cloud
- rize[.]lat
- servicecraft[.]buzz
- setapp[.]ink
- sipapp[.]lat
- skilum[.]store
- smallrabbitcrossing[.]site
- snuggleapplicationsvo[.]fun
- strainriskpropos[.]store
- telephoneverdictiov[.]site
- theoriapparatusjuko[.]fun
- ultradeluk[.]buzz
IP adrese:
- 5.42.64[.]45
- 5.42.64[.]83
- 5.42.65[.]108
- 5.42.65[.]114
- 31.41.244[.]77
- 45.61.137[.]213
- 49.13.89[.]149
- 77.246.158[.]48
- 81.31.245[.]209
- 95.217.234[.]153
- 140.82.20[.]165
- 185.172.128[.]132
- 185.215.113[.]55
- 188.120.227[.]9
- 193.149.189[.]199
- 195.85.115[.]195
URL adresa:
github[.]com/papiniurii33
Izvor: CyberSecurityNews