해커들이 GitHub 및 FileZilla를 이용해 악성코드를 배포하고 있습니다

Recorded Future의 Insikt Group의 연구자들은 GitHub 및 FileZilla와 같은 신뢰할 수 있는 인터넷 서비스를 악용하여 개인 정보를 훔치는 사이버 공격을 수행하는 광범위하고 다면적인 캠페인을 발견했습니다.

이 캠페인은 독립 국가 공동체(CIS)에 위치할 가능성이 있는 러시아어를 사용하는 위협 행위자에게 귀속되며, 합법적인 GitHub 프로필을 악용하여 1Password, Bartender 5 및 Pixelmator Pro와 같은 합법적인 소프트웨어를 가장하여 Atomic macOS Stealer (AMOS), Vidar, Lumma(일명 LummaC2) 및 Octo와 같은 다양한 악성코드 유형을 배포합니다.

“이 캠페인에서 관찰된 일부 악성코드 패밀리인 Atomic macOS Stealer (AMOS), Vidar, Lumma 및 Octo는 공유 명령 및 제어(C2) 시스템을 사용하여 복잡하고 조정된 사이버 공격 전략을 보여줍니다.”라고 Recorded Future의 Insikt Group은 보고서에서 작성했습니다.

“여러 악성코드 변종의 존재는 광범위한 크로스 플랫폼 타겟팅 전략을 시사하며, 겹치는 C2 인프라는 중앙 집중식 명령 설정을 나타내어 공격의 효율성을 높일 수 있습니다.”

‘GitCaught’라는 별명으로 추적되고 있는 이 활동은 합법적인 인터넷 서비스(LIS)의 남용을 강조할 뿐만 아니라 캠페인의 성공률을 높이기 위해 크로스 플랫폼 공격에서 여러 변종에 의존하고 있음을 보여줍니다.

위협 행위자들은 협업 소프트웨어 개발을 위해 널리 사용되는 플랫폼인 GitHub에서 가짜 프로필과 리포지토리를 능숙하게 만들어 사용자의 시스템에 침투하고 비밀번호, 재무 데이터 및 개인 식별 정보와 같은 민감한 정보를 훔치도록 설계된 잘 알려진 소프트웨어의 위조 버전을 제시했습니다.

GitHub 외에도 러시아어를 사용하는 위협 행위자들은 FileZilla 서버와 같은 무료 및 웹 기반 인프라를 악성코드 배포 메커니즘으로 사용하여 합법적인 채널을 악용하여 다양한 악성 페이로드를 피해자의 장치에 전파하는 것이 관찰되었습니다.

AMOS 스틸러에 대한 조사 중 Insikt Group은 CleanShot X, 1Password 및 Bartender와 같은 합법적인 macOS 앱을 가장한 12개의 도메인을 확인했습니다.

확인된 12개의 도메인은 모두 “papinyurii33”라는 사용자 이름의 GitHub 프로필로 사용자를 리디렉션하여 AMOS 정보 도용 감염으로 이어지는 macOS 설치 미디어를 다운로드하도록 했습니다. 현재 AMOS 버전은 Intel 기반 및 ARM 기반 Mac 모두를 감염시킬 수 있습니다.

GitHub의 “papinyurii33”와 관련된 악성 프로필은 2024년 1월 16일에 생성되었으며, 마지막으로 관찰된 기여는 2024년 3월 7일이었습니다. 이 프로필에는 “2132”와 “22”라는 두 개의 리포지토리만 포함되어 있었습니다.

GitHub 계정의 초기 발견 시, 연구자들은 AMOS 외에도 프로필이 “2132” 리포지토리 아래에서 Windows 기반 Lumma 및 Vidar 스틸러를 위한 드로퍼와 Octo Android 뱅킹 트로이목마를 호스팅하고 있음을 관찰했습니다.

그러나 2024년 2월 초 이후 “22” 리포지토리에는 악성코드가 제출되지 않았습니다.

또한 연구자들은 위협 행위자가 다양한 DocCloud 파일을 실행하여 피해자 장치에 여러 정보 도용기를 배포하는 방법을 관찰했습니다. DocCloud.exe는 하드코딩된 자격 증명(사용자 이름: ins; 비밀번호: installer)을 사용하여 IP 주소 193.149.189[.]199의 FileZilla 파일 전송 프로토콜(FTP) 서버에 접근했습니다.

연결이 설정된 후, DocCloud.exe의 자식 프로세스는 .ENC 파일에 접근하여 RC4로 해독하고, 해독된 데이터를 Python 스크립트 내에 저장된 셸코드와 결합했습니다. 결과 페이로드는 pythonw.exe에 대한 인수로 실행되었습니다.

Recorded Future의 네트워크 인텔리전스를 사용하여 Insikt는 위협 행위자의 네트워크 인프라와 관련된 것으로 보이는 네 개의 추가 IP 주소를 식별했습니다. 이 새로운 IP 주소는 DARKCOMET RAT에 대한 C2 인프라와 DARKCOMET RAT를 배포하는 추가 FileZilla FTP 서버를 드러냈습니다.

이 프로세스는 또한 Lumma 및 Vidar 정보 도용기가 드롭되는 여러 실행을 수행하는 데 사용되었습니다.

Insikt Group은 사기성 GitHub 리포지토리를 통해 정보 도용기 악성코드의 확산 위험을 줄이기 위해 조직에 여러 완화 전략을 권장합니다. 그 중 일부는 다음과 같습니다:

• 외부 리포지토리에서 코드를 다운로드할 수 있는 사람을 제한하기 위한 엄격한 접근 제어 및 권한 구현.

• 사기성 또는 악의적인 활동의 징후에 대한 GitHub 리포지토리의 지속적인 모니터링.

• 생산 환경에 통합하기 전에 외부 리포지토리에서 얻은 모든 코드에 대한 조직 전체 코드 검토 프로세스 시행.

• 다운로드 출처의 진위를 확인하고 업데이트된 안티바이러스 및 안티멀웨어 솔루션 유지.

• 직원, 개발자 및 사용자에게 GitHub 리포지토리를 포함한 신뢰할 수 없는 출처에서 코드를 다운로드하는 것과 관련된 위험에 대해 교육.

• GitGuardian, Checkmarx 또는 GitHub Advanced Security와 같은 자동화된 코드 스캐닝 도구를 사용하여 코드에서 잠재적인 악성코드 또는 의심스러운 패턴을 탐지.

Recorded Future의 Insikt Group의 전체 보고서를 통해 이 캠페인에 대한 자세한 이해와 기술적 통찰을 확인할 수 있습니다.