Sahte bir siber güvenlik şirketiyle ilişkili sahte araştırmacıların en az yarısı düzine GitHub hesabının, kod barındırma hizmetinde kötü amaçlı depoları zorladığı gözlemlendi.
Yazılı olarak hala mevcut olan yedi havuzun tümü, Discord, Google Chrome ve Microsoft Exchange Server’da sözde sıfır gün kusurları için bir kavram kanıtı (PoC) istismarı olduğunu iddia ediyor.
Etkinliği keşfeden VulnCheck, söz konusu“Bu depoları oluşturan kişiler, High Sierra Cyber Security adlı var olmayan bir şirketin parçası gibi davranarak bir hesaplar ağı ve Twitter profilleri oluşturarak onları meşru göstermek için büyük çaba sarf ettiler.”
Siber güvenlik firması, hileli depolarla ilk olarak Mayıs ayı başlarında Signal ve WhatsApp’ta sıfır gün hataları için benzer PoC istismarları yayınladıklarının gözlemlendiğinde ortaya çıktığını söyledi. İki PoC’yi barındıran depolar o zamandan beri kaldırıldı.
Meşruiyet oluşturmak amacıyla Twitter’da iddia edilen bulguların bazılarını paylaşmanın yanı sıra, hesapların Rapid7 gibi şirketlerden gerçek güvenlik araştırmacılarının vesikalık görüntülerini kullandığı tespit edildi, bu da tehdit aktörlerinin kampanyayı yürütmek için büyük çaba sarf ettiğini gösteriyor.
PoC, kötü amaçlı bir ikili dosyayı indirmek ve kurbanın işletim sisteminde çalıştırmak için tasarlanmış bir Python betiğidir. pencereler veya linux.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
GitHub depolarının ve sahte Twitter hesaplarının listesi aşağıdadır –
- github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
- github.com/BAdithyaHSCS/Exchange-0-Day
- github.com/DLandonHSCS/Discord-RCE
- github.com/GSandersonHSCS/discord-0-day-fix
- github.com/MHadzicHSCS/Chrome-0-day
- github.com/RShahHSCS/Discord-0-Day-Exploit
- github.com/SsankkarHSCS/Chromium-0-Day
- twitter.com/AKuzmanHSCS
- twitter.com/DLandonHSCS
- twitter.com/GSandersonHSCS
- twitter.com/MHadzicHSCS
VulnCheck araştırmacısı Jacob Baines, “Saldırgan, tüm bu sahte karakterleri oluşturmak için çok çaba sarf etti, ancak yalnızca çok bariz kötü amaçlı yazılımları dağıttı.” Dedi. “Başarılı olup olmadıkları belli değil, ancak bu saldırı yolunu takip etmeye devam ettikleri göz önüne alındığında, görünüşe göre başaracaklarına inanıyorlar.” irade başarılı ol.”
Bunun amatör bir aktörün mü yoksa gelişmiş bir kalıcı tehdidin mi (APT) işi olduğu şu anda bilinmiyor. Ancak Google’ın Ocak 2021’de ortaya çıkardığı gibi, güvenlik araştırmacıları daha önce Kuzey Kore ulus-devlet gruplarının radarına girmişti.
Bulgular, konu açık kaynak havuzlarından kod indirmeye geldiğinde dikkatli olunması gerektiğini gösteriyor. Kullanıcıların herhangi bir güvenlik riski oluşturmadıklarından emin olmak için yürütmeden önce kodu incelemeleri de önemlidir.