Recorded Future의 Insikt Group 연구원들은 GitHub 및 FileZilla와 같은 신뢰할 수 있는 인터넷 서비스를 이용하여 개인 정보를 도용하는 사이버 공격을 수행하는 광범위하고 다각적인 캠페인을 발견했습니다.
독립 국가 연합(CIS)에 거주할 가능성이 있는 러시아어를 구사하는 위협 행위자가 저지른 것으로 추정되는 이 캠페인은 합법적인 GitHub 프로필을 악용하여 1Password, Bartender 5, Pixelmator Pro와 같은 합법적인 소프트웨어를 가장하여 다양한 악성 코드 유형을 배포합니다. Atomic macOS Stealer(AMOS), Vidar, Lumma(일명 LummaC2) 및 Octo 등이 있습니다.
Recorded Future의 Insikt Group 은 "AMOS(Atomic macOS Stealer), Vidar, Lumma 및 Octo와 같은 이 캠페인에서 관찰된 일부 악성 코드군은 공유 명령 및 제어(C2) 시스템을 사용하여 복잡하고 조화로운 사이버 공격 전략을 보여줍니다"라고 썼습니다. 보고서에서.
"여러 악성 코드 변종의 존재는 광범위한 크로스 플랫폼 표적화 전략을 암시하는 반면, 중복되는 C2 인프라는 중앙 집중식 명령 설정을 가리키므로 공격 효율성이 높아질 수 있습니다."
'GitCaught'라는 별명으로 추적되고 있는 이 활동은 합법적인 인터넷 서비스(LIS)의 남용뿐만 아니라 캠페인의 성공률을 높이기 위해 크로스 플랫폼 공격의 다양한 변종에 대한 의존성을 강조합니다.
위협 행위자는 공동 소프트웨어 개발을 위해 널리 사용되는 플랫폼인 GitHub에서 가짜 프로필과 리포지토리를 교묘하게 제작하여 사용자 시스템에 침투하고 비밀번호, 금융 데이터, 정보와 같은 민감한 정보를 훔치도록 설계된 잘 알려진 소프트웨어의 위조 버전을 제시합니다. 개인 식별 정보.
GitHub 외에도 러시아어를 사용하는 위협 행위자는 FileZilla 서버와 같은 무료 웹 기반 인프라를 맬웨어 전달 메커니즘으로 사용하여 합법적인 채널을 악용하여 피해자의 장치에 다양한 악성 페이로드를 유포하는 것으로 관찰되었습니다.
AMOS 스틸러를 조사하는 동안 Insikt Group은 CleanShot X, 1Password 및 Bartender와 같은 합법적인 macOS 앱을 가장한 12개의 도메인을 식별했습니다.
식별된 12개 도메인 모두 AMOS infostealer 감염으로 이어지는 macOS 설치 미디어를 다운로드하기 위해 사용자를 "papinyurii33"이라는 사용자에 속한 GitHub 프로필로 리디렉션했습니다. 현재 AMOS 버전은 Intel 기반 및 ARM 기반 Mac을 모두 감염시킬 수 있습니다.
GitHub의 "papinyurii33"과 관련된 악성 프로필은 2024년 1월 16일에 생성되었으며 마지막으로 관찰된 기여는 2024년 3월 7일이었습니다. 이 프로필에는 "2132" 및 "22"라는 이름의 두 개의 리포지토리 또는 "repos"만 포함되어 있었습니다.
연구원들은 GitHub 계정을 처음 발견했을 때 해당 프로필이 AMOS 외에도 Windows 기반 Lumma 및 Vidar 스틸러용 드로퍼와 Octo Android 뱅킹 트로이목마를 포함하여 "2132" 저장소에 있는 다른 파일을 호스팅하고 있음을 관찰했습니다.
그러나 2024년 2월 초 이후에는 "22" 저장소에 악성 코드가 제출되지 않았습니다.
또한 연구원들은 위협 행위자가 피해자 장치에 다양한 Infostealer를 배포하기 위해 다양한 DocCloud 파일을 실행하는 방법을 관찰했습니다. DocCloud.exe는 하드코딩된 자격 증명(사용자 이름:ins, 비밀번호:설치 프로그램)을 사용하여 IP 주소 193.149.189[.]199에서 FileZilla 파일 전송 프로토콜(FTP) 서버에 액세스했습니다.
연결이 설정된 후 DocCloud.exe의 하위 프로세스에 액세스하여 RC4는 암호화된 데이터를 저장하기 위한 표준 파일 형식인.ENC 파일을 해독하고 해독된 데이터를 Python 스크립트 내에 저장된 쉘코드와 결합했습니다. 결과 페이로드는 pythonw.exe에 대한 인수로 실행되었습니다.
Insikt는 Recorded Future의 네트워크 인텔리전스를 사용하여 위협 행위자의 네트워크 인프라와 관련이 있을 가능성이 있는 4개의 추가 IP 주소도 식별했습니다. 이러한 새로운 IP 주소는 DARKCOMET RAT용 C2 인프라와 DARKCOMET RAT 배포를 담당하는 추가 FileZilla FTP 서버를 공개했습니다.
이 프로세스는 여러 실행을 수행하는 데에도 사용되어 Lumma 및 Vidar 인포스틸러가 삭제되었습니다.
Insikt Group은 사기성 GitHub 리포지토리를 통해 확산되는 Infostealer 악성 코드의 위험을 줄이기 위해 조직에 시스템과 데이터를 더 잘 보호할 수 있는 몇 가지 완화 전략을 권장합니다. 그 중 일부는 다음과 같습니다.
- 외부 저장소에서 코드를 다운로드할 수 있는 사람을 제한하기 위해 엄격한 액세스 제어 및 권한을 구현합니다.
- 사기 또는 악의적인 활동의 징후가 있는지 GitHub 리포지토리를 지속적으로 모니터링합니다.
- 외부 저장소에서 얻은 모든 코드를 프로덕션 환경에 통합하기 전에 조직 전반에 걸쳐 코드 검토 프로세스를 시행합니다.
- 다운로드 소스의 신뢰성을 확인하고 업데이트된 바이러스 백신 및 맬웨어 방지 솔루션을 유지하십시오.
- GitHub 리포지토리를 포함하여 신뢰할 수 없는 소스에서 코드를 다운로드하는 것과 관련된 위험에 대해 직원, 개발자 및 사용자에게 교육하십시오.
- GitGuardian, Checkmarx 또는 GitHub Advanced Security와 같은 자동화된 코드 검사 도구를 사용하여 코드에서 잠재적인 맬웨어나 의심스러운 패턴을 탐지합니다.
*참조한 원본 글: https://www.techworm.net/2024/05/hacker-exploit-github-filezilla-malware.html
'인생그것은약속위반 > 관심' 카테고리의 다른 글
| 지워지고 판매된 iPad 및 iPhone에서 삭제된 사진을 복원하는 버그가 있습니다. (0) | 2024.05.25 |
|---|---|
| 착한가격업소 정보 (부산광역시 해운대구) (0) | 2024.05.18 |
| 아라키스와 그 너머로: 모래 언덕의 언어 (0) | 2024.05.18 |
댓글