Hacker nutzen GitHub & FileZilla aus, um Malware zu verbreiten

Forscher der Insikt Group von Recorded Future haben eine umfangreiche und vielschichtige Kampagne entdeckt, die vertrauenswürdige Internetdienste wie GitHub und FileZilla ausnutzt, um Cyberangriffe durchzuführen, die persönliche Informationen stehlen.

Diese Kampagne, die russischsprachigen Bedrohungsakteuren zugeschrieben wird, die wahrscheinlich in der Gemeinschaft Unabhängiger Staaten (GUS) ansässig sind, missbraucht ein legitimes GitHub-Profil, um sich als legitime Software wie 1Password, Bartender 5 und Pixelmator Pro auszugeben, um verschiedene Malware-Typen wie Atomic macOS Stealer (AMOS), Vidar, Lumma (auch bekannt als LummaC2) und Octo zu verbreiten.

„Einige in dieser Kampagne beobachtete Malware-Familien, wie Atomic macOS Stealer (AMOS), Vidar, Lumma und Octo, verwenden gemeinsame Command-and-Control (C2)-Systeme, was eine komplexe, koordinierte Cyberangriffsstrategie zeigt“, schrieb die Insikt Group von Recorded Future in ihrem Bericht.

„Die Präsenz mehrerer Malware-Varianten deutet auf eine breite plattformübergreifende Zielstrategie hin, während die überlappende C2-Infrastruktur auf ein zentrales Kommandosystem hinweist – was möglicherweise die Effizienz der Angriffe erhöht.“

Die Aktivität, die unter dem Spitznamen „GitCaught“ verfolgt wird, hebt nicht nur den Missbrauch legitimer Internetdienste (LIS) hervor, sondern auch die Abhängigkeit von mehreren Varianten in plattformübergreifenden Angriffen, um die Erfolgsquote der Kampagne zu steigern.

Die Bedrohungsakteure haben geschickt gefälschte Profile und Repositories auf GitHub erstellt, einer weit verbreiteten Plattform für die kollaborative Softwareentwicklung, und gefälschte Versionen bekannter Software präsentiert, die darauf abzielen, die Systeme der Benutzer zu infiltrieren und sensible Informationen wie Passwörter, Finanzdaten und persönliche Identifikationsdetails zu stehlen.

Neben GitHub wurden die russischsprachigen Bedrohungsakteure auch dabei beobachtet, kostenlose und webbasierte Infrastruktur wie FileZilla-Server als Mechanismus zur Malware-Verbreitung zu nutzen und legitime Kanäle zu missbrauchen, um verschiedene bösartige Payloads auf die Geräte der Opfer zu verbreiten.

Während einer Untersuchung des AMOS-Stealers identifizierte die Insikt Group zwölf Domains, die sich als legitime macOS-Apps wie CleanShot X, 1Password und Bartender ausgaben.

Alle zwölf identifizierten Domains leiteten die Benutzer zu einem GitHub-Profil eines Benutzers namens „papinyurii33“ weiter, um macOS-Installationsmedien herunterzuladen, die zur AMOS-Infostealer-Infektion führten. Die aktuelle AMOS-Version ist in der Lage, sowohl Intel-basierte als auch ARM-basierte Macs zu infizieren.

Das bösartige Profil, das mit „papinyurii33“ auf GitHub verbunden ist, wurde am 16. Januar 2024 erstellt, und der letzte beobachtete Beitrag war am 7. März 2024. Es enthielt nur zwei Repositories oder „Repos“ mit den Namen „2132“ und „22“.

Bei der ersten Entdeckung des GitHub-Kontos beobachteten die Forscher, dass das Profil neben AMOS auch andere Dateien im Repository „2132“ hostete, darunter einen Dropper für die Windows-basierten Lumma- und Vidar-Stealer sowie einen Octo Android-Banking-Trojaner.

Allerdings wurde seit Anfang Februar 2024 keine Malware im Repository „22“ eingereicht.

Zusätzlich beobachteten die Forscher, wie der Bedrohungsakteur verschiedene DocCloud-Dateien ausführte, um eine Reihe von Infostealern auf den Geräten der Opfer zu deployen. DocCloud.exe greift auf einen FileZilla-Dateiübertragungsprotokoll (FTP)-Server unter der IP-Adresse 193.149.189[.]199 mit fest codierten Anmeldeinformationen (Benutzername:ins; Passwort:installer) zu.

Nachdem eine Verbindung hergestellt wurde, greift ein Kindprozess von DocCloud.exe auf eine .ENC-Datei zu und entschlüsselt sie mit RC4, einem Standarddateiformat zum Speichern verschlüsselter Daten, und kombiniert die entschlüsselten Daten mit Shellcode, der in einem Python-Skript gespeichert ist. Die resultierende Payload wurde dann als Argument an pythonw.exe ausgeführt.

Mit Recorded Futures Netzwerkintelligenz identifizierte Insikt auch vier zusätzliche IP-Adressen, die alle wahrscheinlich mit der Netzwerk-Infrastruktur des Bedrohungsakteurs verbunden sind. Diese neuen IP-Adressen enthüllten C2-Infrastruktur für DARKCOMET RAT und einen weiteren FileZilla FTP-Server, der für die Bereitstellung von DARKCOMET RAT verantwortlich ist.

Dieser Prozess wurde auch verwendet, um mehrere Ausführungen durchzuführen, was dazu führte, dass Lumma- und Vidar-Infostealer abgelegt wurden.

Um das Risiko der Verbreitung von Infostealer-Malware durch betrügerische GitHub-Repositories zu verringern, empfiehlt die Insikt Group mehreren Strategien zur Minderung für Organisationen, um ihre Systeme und Daten besser zu schützen, von denen einige sind:

• Implementierung strenger Zugangskontrollen und Berechtigungen, um zu begrenzen, wer Code aus externen Repositories herunterladen kann.

• Kontinuierliche Überwachung von GitHub-Repositories auf Anzeichen von betrügerischen oder bösartigen Aktivitäten.

• Durchsetzung eines unternehmensweiten Code-Überprüfungsprozesses für allen Code, der aus externen Repositories bezogen wird, bevor er in Produktionsumgebungen integriert wird.

• Überprüfung der Authentizität der Download-Quellen und Aufrechterhaltung aktualisierter Antivirus- und Antimalware-Lösungen.

• Schulung von Mitarbeitern, Entwicklern und Benutzern über die Risiken, die mit dem Herunterladen von Code aus untrusted Quellen, einschließlich GitHub-Repositories, verbunden sind.

• Einsatz automatisierter Code-Scanning-Tools wie GitGuardian, Checkmarx oder GitHub Advanced Security, um potenzielle Malware oder verdächtige Muster im Code zu erkennen.

Sie können den vollständigen Bericht der Insikt Group von Recorded Future einsehen, um ein detailliertes Verständnis dieser Kampagne und detaillierte technische Einblicke zu erhalten.