ハッカーがGitHubとFileZillaを悪用してマルウェアを配信

Recorded FutureのInsikt Groupの研究者たちは、GitHubやFileZillaなどの信頼できるインターネットサービスを悪用して個人情報を盗むサイバー攻撃を実行する広範で多面的なキャンペーンを発見しました。

このキャンペーンは、独立国家共同体（CIS）に所在する可能性のあるロシア語を話す脅威アクターに起因しており、正当なGitHubプロファイルを悪用して、1Password、Bartender 5、Pixelmator Proなどの正当なソフトウェアを偽装し、Atomic macOS Stealer (AMOS)、Vidar、Lumma（別名LummaC2）、Octoなどのさまざまなマルウェアを配布しています。

「このキャンペーンで観察された一部のマルウェアファミリー、例えばAtomic macOS Stealer (AMOS)、Vidar、Lumma、Octoは、共有コマンド＆コントロール（C2）システムを使用しており、複雑で調整されたサイバー攻撃戦略を示しています」とRecorded FutureのInsikt Groupは報告書で述べています。

「複数のマルウェアバリアントの存在は、広範なクロスプラットフォームターゲティング戦略を示唆しており、重複するC2インフラは中央集権的なコマンドセットアップを示しており、攻撃の効率を高める可能性があります。」

‘GitCaught’というニックネームで追跡されているこの活動は、正当なインターネットサービス（LIS）の悪用を強調するだけでなく、キャンペーンの成功率を高めるためにクロスプラットフォーム攻撃における複数のバリアントへの依存も示しています。

脅威アクターは、協力的なソフトウェア開発のために広く利用されているプラットフォームであるGitHub上に偽のプロファイルとリポジトリを巧妙に作成し、ユーザーのシステムに侵入し、パスワード、財務データ、個人識別情報などの機密情報を盗むように設計された有名なソフトウェアの偽バージョンを提示しました。

GitHubに加えて、ロシア語を話す脅威アクターは、FileZillaサーバーのような無料でウェブベースのインフラをマルウェア配信のメカニズムとして使用していることも観察されています。正当なチャネルを悪用して、さまざまな悪意のあるペイロードを被害者のデバイスに配布しています。

AMOSスティーラーの調査中、Insikt GroupはCleanShot X、1Password、Bartenderなどの正当なmacOSアプリを偽装した12のドメインを特定しました。

特定された12のドメインはすべて、ユーザー名「papinyurii33」に属するGitHubプロファイルにリダイレクトされ、AMOSインフォスティーラー感染につながるmacOSインストールメディアをダウンロードするようになっています。現在のAMOSバージョンは、IntelベースとARMベースの両方のMacを感染させることができます。

GitHub上の「papinyurii33」に関連する悪意のあるプロファイルは2024年1月16日に作成され、最後の観察された貢献は2024年3月7日でした。このプロファイルには「2132」と「22」という2つのリポジトリしか含まれていませんでした。

GitHubアカウントの初期発見時、研究者たちはAMOSの他に、プロファイルが「2132」リポジトリの下にWindowsベースのLummaおよびVidarスティーラー用のドロッパー、さらにOcto Androidバンキングトロイの木馬をホストしていることを観察しました。

しかし、「22」リポジトリには2024年2月初旬以降、マルウェアは提出されていません。

さらに、研究者たちは脅威アクターがさまざまなDocCloudファイルを実行して被害者のデバイスにさまざまなインフォスティーラーを展開する様子を観察しました。DocCloud.exeは、ハードコーディングされた資格情報（ユーザー名:ins; パスワード:installer）を使用して、IPアドレス193.149.189[.]199のFileZillaファイル転送プロトコル（FTP）サーバーにアクセスしました。

接続が確立されると、DocCloud.exeの子プロセスが.ENCファイルにアクセスし、RC4で復号化し、復号化されたデータをPythonスクリプト内に保存されたシェルコードと組み合わせました。結果として得られたペイロードは、pythonw.exeへの引数として実行されました。

Recorded Futureのネットワークインテリジェンスを使用して、Insiktは脅威アクターのネットワークインフラに関連する可能性のある4つの追加IPアドレスも特定しました。これらの新しいIPアドレスは、DARKCOMET RATのC2インフラとDARKCOMET RATを展開する責任のある追加のFileZilla FTPサーバーを明らかにしました。

このプロセスは、LummaおよびVidarインフォスティーラーがドロップされる結果をもたらす複数の実行を行うためにも使用されました。

Insikt Groupは、詐欺的なGitHubリポジトリを通じてインフォスティーラーのマルウェアが広がるリスクを減らすために、組織がシステムとデータをより良く保護するためのいくつかの緩和戦略を推奨しています。その一部は以下の通りです：

• 外部リポジトリからコードをダウンロードできる人を制限するために、厳格なアクセス制御と権限の実施。

• 詐欺的または悪意のある活動の兆候についてGitHubリポジトリを継続的に監視。

• 外部リポジトリから取得したすべてのコードを本番環境に統合する前に、組織全体のコードレビュープロセスを強制。

• ダウンロードソースの真正性を確認し、最新のウイルス対策およびマルウェア対策ソリューションを維持。

• 従業員、開発者、ユーザーに、GitHubリポジトリを含む信頼できないソースからコードをダウンロードすることに関連するリスクについて教育。

• GitGuardian、Checkmarx、またはGitHub Advanced Securityなどの自動コードスキャンツールを使用して、コード内の潜在的なマルウェアや疑わしいパターンを検出。

Recorded FutureのInsikt Groupによるこのキャンペーンの詳細な理解と技術的洞察を得るために、完全な報告書をチェックできます。