Хакеры используют GitHub и FileZilla для распространения вредоносного ПО

Исследователи группы Insikt компании Recorded Future обнаружили обширную и многофасетную кампанию, которая использует доверенные интернет-сервисы, такие как GitHub и FileZilla, для проведения кибератак, направленных на кражу личной информации.

Эта кампания, приписываемая русскоязычным злоумышленникам, вероятно, находящимся в Содружестве Независимых Государств (СНГ), злоупотребляет легитимным профилем GitHub для выдачи себя за легитимное программное обеспечение, такое как 1Password, Bartender 5 и Pixelmator Pro, для распространения различных типов вредоносного ПО, таких как Atomic macOS Stealer (AMOS), Vidar, Lumma (также известный как LummaC2) и Octo.

“Некоторые семейства вредоносного ПО, наблюдаемые в этой кампании, такие как Atomic macOS Stealer (AMOS), Vidar, Lumma и Octo, используют общие системы управления и контроля (C2), что демонстрирует сложную, скоординированную стратегию кибератаки,” — написала группа Insikt компании Recorded Future в своем отчете.

“Наличие нескольких вариантов вредоносного ПО указывает на широкую стратегию кроссплатформенного таргетинга, в то время как перекрывающаяся инфраструктура C2 указывает на централизованную командную настройку — возможно, увеличивая эффективность атак.”

Деятельность, которая отслеживается под ником ‘GitCaught’, не только подчеркивает злоупотребление легитимными интернет-сервисами (LIS), но и зависимость от нескольких вариантов в кроссплатформенных атаках для повышения коэффициента успеха кампании.

Злоумышленники искусно создавали поддельные профили и репозитории на GitHub, широко используемой платформе для совместной разработки программного обеспечения, представляя поддельные версии известных программ, которые предназначены для проникновения в системы пользователей и кражи конфиденциальной информации, такой как пароли, финансовые данные и личные идентификационные данные.

Помимо GitHub, русскоязычные злоумышленники также были замечены в использовании бесплатной и веб-ориентированной инфраструктуры, такой как серверы FileZilla, в качестве механизма доставки вредоносного ПО, злоупотребляя легитимными каналами для распространения различных вредоносных загрузок на устройства жертв.

Во время расследования кражи AMOS группа Insikt выявила двенадцать доменов, которые выдавали себя за легитимные приложения macOS, такие как CleanShot X, 1Password и Bartender.

Все двенадцать идентифицированных доменов перенаправляли пользователей на профиль GitHub, принадлежащий пользователю с именем “papinyurii33”, для загрузки установочных медиа для macOS, что приводило к заражению инфостилером AMOS. Текущая версия AMOS способна заражать как Mac на базе Intel, так и на базе ARM.

Зловредный профиль, связанный с “papinyurii33” на GitHub, был создан 16 января 2024 года, а его последнее наблюдаемое внесение было 7 марта 2024 года. Он содержал только два репозитория, или “репы”, названные “2132” и “22”.

При первоначальном обнаружении аккаунта GitHub исследователи заметили, что помимо AMOS профиль также размещал другие файлы в репозитории “2132”, включая дроппер для Windows-версий Lumma и Vidar, а также троян для Android Octo.

Тем не менее, в репозиторий “22” не было загружено никакого вредоносного ПО с начала февраля 2024 года.

Кроме того, исследователи наблюдали, как злоумышленник выполнял различные файлы DocCloud для развертывания ряда инфостилеров на устройствах жертв. DocCloud.exe получил доступ к серверу передачи файлов FileZilla (FTP) по IP-адресу 193.149.189[.]199, используя жестко закодированные учетные данные (имя пользователя: ins; пароль: installer).

После установления соединения дочерний процесс DocCloud.exe получил доступ и расшифровал файл .ENC с помощью RC4, стандартного формата файла для хранения зашифрованных данных, и объединил расшифрованные данные с шеллкодом, хранящимся в Python-скрипте. Полученная загрузка затем была запущена как аргумент для pythonw.exe.

Используя сетевую разведку Recorded Future, Insikt также идентифицировала четыре дополнительных IP-адреса, все, вероятно, связанные с сетевой инфраструктурой злоумышленника. Эти новые IP-адреса раскрыли инфраструктуру C2 для DARKCOMET RAT и дополнительный сервер FTP FileZilla, ответственный за развертывание DARKCOMET RAT.

Этот процесс также использовался для выполнения нескольких запусков, в результате чего были сброшены инфостилеры Lumma и Vidar.

Чтобы снизить риск распространения инфостилера через мошеннические репозитории GitHub, группа Insikt рекомендует несколько стратегий смягчения для организаций, чтобы лучше защитить свои системы и данные, некоторые из которых:

• Реализация строгих контролей доступа и разрешений, чтобы ограничить, кто может загружать код из внешних репозиториев.

• Непрерывный мониторинг репозиториев GitHub на предмет признаков мошеннической или вредоносной активности.

• Принуждение к процессу проверки кода на уровне всей организации для всего кода, полученного из внешних репозиториев, перед его интеграцией в производственные среды.

• Проверка подлинности источников загрузки и поддержание актуальных антивирусных и антишпионских решений.

• Обучение сотрудников, разработчиков и пользователей о рисках, связанных с загрузкой кода из ненадежных источников, включая репозитории GitHub.

• Использование автоматизированных инструментов сканирования кода, таких как GitGuardian, Checkmarx или GitHub Advanced Security, для обнаружения потенциального вредоносного ПО или подозрительных паттернов в коде.

Вы можете ознакомиться с полным отчетом группы Insikt компании Recorded Future для более детального понимания этой кампании и технических деталей.