- 14,381
- 20
- 8 Ноя 2022
Популярная площадка стала ареной битвы за данные.
Группировка MUT-1244 похитила более 390 000 учетных данных WordPress в ходе атаки, длившейся более года. Вредоносная кампания была направлена не только на обычных пользователей, но и на других киберпреступников, которые использовали зараженные программы для проверки логинов и паролей.
По Для просмотра ссылки Войдиили Зарегистрируйся Datadog Security Labs, злоумышленники также украли закрытые SSH-ключи и ключи доступа AWS. Среди пострадавших — специалисты по тестированию безопасности, исследователи, участники Red Team , а также другие хакеры.
Для атаки использовались фальшивые репозитории на GitHub , где размещались эксплойты под видом доказательств концепций (Proof-of-Concept, PoC), нацеленные на известные уязвимости. Кроме того, жертвам рассылали фишинговые письма с предложением установить обновление ядра системы, якобы улучшая работу процессора. На самом деле под видом обновления устанавливалось вредоносное ПО.
Многие ИБ-специалисты и хакеры, не подозревая о рисках, загружали файлы, надеясь найти полезные коды для работы. Вредоносные репозитории выглядели убедительно, их названия даже автоматически добавлялись в ленты проверенных источников (например, Feedly Threat Intelligence или Vulnmon), что повышало доверие к каталогам.
Вредоносные файлы распространялись через репозитории GitHub с использованием нескольких методов, включая зараженные конфигурационные файлы для компиляции программ, вредоносные PDF-файлы, дропперы на Python и вредоносные npm-пакеты, включенные в зависимости проектов.
Использованная хакерами программа включает в себя майнер криптовалюты и бэкдор, который помог MUT-1244 собрать и извлечь закрытые SSH-ключи, учетные данные AWS, переменные среды и содержимое ключевых каталогов, включая «~/.aws».
Полезная нагрузка второго этапа, размещенная на отдельной платформе, позволила злоумышленникам перенести данные на Dropbox и file.io, причем в полезной нагрузке были жестко запрограммированные учетные данные для данных платформ, что предоставило киберпреступникам легкий доступ к украденной информации.
По оценке Datadog Security Labs, сотни систем остаются зараженными, а заражение продолжается. Эксперты предупреждают о необходимости повышенного внимания при использовании репозиториев и PoC-эксплоитов, чтобы избежать подобных атак в будущем.
Группировка MUT-1244 похитила более 390 000 учетных данных WordPress в ходе атаки, длившейся более года. Вредоносная кампания была направлена не только на обычных пользователей, но и на других киберпреступников, которые использовали зараженные программы для проверки логинов и паролей.
По Для просмотра ссылки Войди
Для атаки использовались фальшивые репозитории на GitHub , где размещались эксплойты под видом доказательств концепций (Proof-of-Concept, PoC), нацеленные на известные уязвимости. Кроме того, жертвам рассылали фишинговые письма с предложением установить обновление ядра системы, якобы улучшая работу процессора. На самом деле под видом обновления устанавливалось вредоносное ПО.
Многие ИБ-специалисты и хакеры, не подозревая о рисках, загружали файлы, надеясь найти полезные коды для работы. Вредоносные репозитории выглядели убедительно, их названия даже автоматически добавлялись в ленты проверенных источников (например, Feedly Threat Intelligence или Vulnmon), что повышало доверие к каталогам.
Вредоносные файлы распространялись через репозитории GitHub с использованием нескольких методов, включая зараженные конфигурационные файлы для компиляции программ, вредоносные PDF-файлы, дропперы на Python и вредоносные npm-пакеты, включенные в зависимости проектов.
Использованная хакерами программа включает в себя майнер криптовалюты и бэкдор, который помог MUT-1244 собрать и извлечь закрытые SSH-ключи, учетные данные AWS, переменные среды и содержимое ключевых каталогов, включая «~/.aws».
Полезная нагрузка второго этапа, размещенная на отдельной платформе, позволила злоумышленникам перенести данные на Dropbox и file.io, причем в полезной нагрузке были жестко запрограммированные учетные данные для данных платформ, что предоставило киберпреступникам легкий доступ к украденной информации.
По оценке Datadog Security Labs, сотни систем остаются зараженными, а заражение продолжается. Эксперты предупреждают о необходимости повышенного внимания при использовании репозиториев и PoC-эксплоитов, чтобы избежать подобных атак в будущем.
- Источник новости
- www.securitylab.ru
