Mut-1244 olarak izlenen bir tehdit oyuncusu, diğer tehdit aktörlerini Truva Azalanmış WordPress kimlik bilgisi denetleyicisi kullanarak hedefleyen büyük ölçekli, yıl süren bir kampanyada 390.000'den fazla WordPress kimlik bilgilerini çaldı.
Saldırıları tespit eden Datadog Security Labs'taki araştırmacılar, SSH özel anahtarları ve AWS erişim anahtarlarının da kırmızı ekipleri, penetrasyon testçileri, güvenlik araştırmacıları ve kötü niyetli aktörleri içerdiğine inanılan yüzlerce diğer kurbanın tehlikeye atılmış sistemlerinden çalındığını söylüyor. .
Mağdurlar, bilinen güvenlik kusurlarını hedefleyen kötü niyetli kavram kanıtı (POC) istismarları sağlayan düzinelerce truva atıfı depoları ile itilen aynı ikinci aşamalı yük kullanılarak enfekte edildi ve sahte bir çekirdek yükseltme kampanyası yüklemeye yönelik bir kimlik avı kampanyası, Bir CPU Mikrokod Güncellemesi.
Kimlik avı e -postaları kurbanları kötü amaçlı yazılımları yükleyen komutları yürütmeye kandırırken, sahte depolar güvenlik profesyonellerini ve belirli güvenlik açıkları için istismar kod arayan tehdit aktörlerini kandırdı.
Tehdit aktörleri, değerli araştırmalar çalmayı veya siber güvenlik firmalarının ağlarına erişim elde etmeyi umarak araştırmacıları hedeflemek için geçmişte sahte kavram kanıtı kullandılar.
Araştırmacılar, "Adlandırmaları nedeniyle, bu depoların birçoğu, bu güvenlik açıkları için kavram kanıtı olarak akım tehdidi istihbaratı veya vulnmon gibi meşru kaynaklara otomatik olarak dahil ediliyor." Dedi. " Birinin onları yönetmesi olasılığı. "
Yükler, GitHub depoları üzerinden, derleme dosyaları, kötü amaçlı PDF dosyaları, python damlaları ve projelerin bağımlılıklarında yer alan kötü amaçlı NPM paketleri dahil olmak üzere birden fazla yöntem kullanılarak bırakıldı.
Datadog Güvenlik Laboratuvarı'nın bulunduğu gibi, bu kampanya, "HPC20235/YAWP" Github projesinin "0xengine/xmlrpc" NPM Paketinde kötü niyetli kod kullanılarak trojanize edildiği bir yıl süren tedarik zinciri saldırısı hakkında bir Kasım checkMarkx raporunda vurgulanan bir örtüşüyor. Veri çalmak ve Monero kripto para birimini çalmak için.
Bu saldırılarda dağıtılan kötü amaçlı yazılımlar bir kripto para madenci ve MUT-1244'ün özel SSH anahtarlarını, AWS kimlik bilgilerini, ortam değişkenlerini ve "~/.aws" gibi anahtar dizin içeriklerini toplamaya ve dışarı atmaya yardımcı olan bir arka kapı bulunmaktadır.
Ayrı bir platformda barındırılan ikinci aşamalı yük, saldırganların dropbox ve file.io gibi dosya paylaşım hizmetlerine verileri sunmasına izin verdi, araştırmacılar bu platformlar için bu platformlar için sert kodlanmış kimlik bilgileri bularak saldırganlara kolay erişim sağladı. çalınan bilgi.
"Mut-1244, WordPress olanlar olduğuna inanılan 390.000'den fazla kimlik bilgisine erişebildi. Bu kimlik bilgilerinin Dropbox'a söndürülmesinden önce, onları yasadışı araçlarla edinen saldırgan aktörlerin elinde olduklarına güveniyoruz. , "Datadog Güvenlik Laboratuarları araştırmacıları.
"Bu aktörler daha sonra bu kimlik bilgilerinin geçerliliğini kontrol etmek için kullandıkları YAWPP aracı aracılığıyla tehlikeye atıldı. Mut-1244, YAWPP'yi WordPress için" kimlik bilgileri denetleyicisi "olarak ilan ettiğinden, bir dizi çalıntı kimlik bilgisi olan bir saldırganın (ki genellikle yeraltı pazarlarından tehdit aktör operasyonlarını hızlandırmanın bir yolu olarak satın alınır) YAWPP'yi doğrulamak için kullanır. "
Saldırganlar, hedefler tehdit oyuncusunun kötü amaçlı yazılımını bilmeden gerçekleştirdikten sonra, hem beyaz şapka hem de siyah şapka bilgisayar korsanlarına ait düzinelerce makineyi uzlaştırmak için siber güvenlik topluluğundaki güveni başarıyla kullandı ve SSH anahtarlarını, AWS erişim belirteçlerini ve komut geçmişlerini içeren veri hırsızlığına yol açtı.
Datadog Güvenlik Laboratuarları, yüzlerce sistemin tehlikeye atıldığını ve diğerlerinin bu devam eden kampanyanın bir parçası olarak hala enfekte olduğunu tahmin ediyor.
Bilgisayar korsanları, maruz kalan GIT yapılandırma dosyalarından 15.000 bulut kimlik bilgilerini çalın
Korunmasız eklentileri yüklemek için kullanılmış hunk companion wordpress eklentisi
WPForms Hatası, milyonlarca WordPress sitesinde şerit geri ödemelerine izin verir
Çinli bilgisayar korsanları, kimlik bilgilerini çalmak için sıfır günden yararlanan Fortinet VPN'den yararlanıyor
Çerçeve Araştırmacı için kötü niyetli taahhütlerle hedeflenen GitHub projeleri
Kaynak: Bleeping Computer