Siber güvenlik araştırmacıları, GitHub’da ve sosyal medya platformlarında, popüler yazılımlarda bulunduğu iddia edilen bir dizi sıfır gün güvenlik açığı için kavram kanıtı (PoC) açıklarını dağıttığını iddia eden birden fazla hesap buldu. Ancak daha derin bir inceleme, tüm hesapların sahte olduğunu ve PoC’lerin gizli kötü amaçlı yazılımdan başka bir şey olmadığını ortaya çıkardı.
Haber, siber güvenlik araştırmacıları tarafından kırıldı. Güvenlik Kontrolüadı açıklanmayan tehdit aktörlerinin hem GitHub’da hem de Twitter’da sahte siber güvenlik araştırmacılarına ait bir hesap ağı oluşturduğunu söyledi. Bu hesaplar, gerçek güvenlik uzmanlarına ait profil resimlerini kullanıyordu, bu da VulnCheck’in saldırının arkasında her kim varsa, bir miktar güvenilirlik sağlamak için büyük çaba sarf ettiğine inanmasına neden oldu.
Bu hesaplarda sahte uzmanlar, Signal, Discord, Google Chrome veya Microsoft Exchange Server gibi popüler yazılımlarda bulunan sözde sıfır gün güvenlik açıkları için kavram kanıtı istismarları paylaşıyordu.
VulnCheck, “Bu depoları oluşturan kişiler, High Sierra Cyber Security adlı var olmayan bir şirketin parçası gibi davranarak bir hesaplar ağı ve Twitter profilleri oluşturarak onları meşru göstermek için büyük çaba sarf etti.”
Suçlular, hesabı, kötü amaçlı bir ikili dosyayı indiren ve onu hedef uç noktada çalıştıran bir Python betiğini dağıtmak için kullanır. Kötü amaçlı yazılımın hem Windows hem de Linux üzerinde çalıştığı söylendi.
Basın zamanında, tüm kötü amaçlı GitHub depoları kaldırıldı, ancak her ihtimale karşı bir liste:
- github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
- github.com/BAdithyaHSCS/Exchange-0-Day
- github.com/DLandonHSCS/Discord-RCE
- github.com/GSandersonHSCS/discord-0-day-fix
- github.com/MHadzicHSCS/Chrome-0-day
- github.com/RShahHSCS/Discord-0-Day-Exploit
- github.com/SsankkarHSCS/Chromium-0-Day
Bu Twitter hesapları ise henüz kaldırılmadı:
- twitter.com/AKuzmanHSCS
- twitter.com/DLandonHSCS
- twitter.com/GSandersonHSCS
- twitter.com/MHadzicHSCS
Araştırmacılar, kampanyaya harcanan çabanın miktarı göz önüne alındığında, nihai sonucun pek bir anlam ifade etmediğini, çünkü teslim edilen kötü amaçlı yazılımın “çok açık” olduğunu ima ediyorlar. “Başarılı olup olmadıkları belli değil, ancak bu saldırı yolunu takip etmeye devam ettikleri göz önüne alındığında, başarılı olacaklarına inanıyorlar gibi görünüyor.”
Analiz: Neden önemli?
Bu, sonuçları acı verici olabilecek çok ayrıntılı bir tedarik zinciri saldırısıdır. GitHub tartışmasız dünyanın en büyük açık kaynak kod deposudur ve burada bulunan ürünler, çözümlerini ve araçlarını oluştururken sayısız kuruluş tarafından kullanılan yazılım yapı taşlarıdır. Bir tehdit aktörü, mevcut bir havuzun güvenliğini aşmayı veya kötü amaçlı kodu sıkıştırmayı başarırsa, teorik olarak binlerce uç noktayı tehlikeye atarak çok sayıda yazılıma kadar inebilir. Bu şekilde dağıtılan kötü amaçlı yazılımın türüne bağlı olarak, tehdit aktörleri hassas verileri ele geçirebilir, kimlik hırsızlığı ve fidye yazılımı saldırılarının yanı sıra elektronik dolandırıcılıkla meşgul olabilir.
GitHub’ın popülaritesi, onu tedarik zinciri saldırıları için en büyük hedeflerden biri haline getirdi. Çoğu zaman, tehdit aktörleri, adı mevcut olanla neredeyse aynı olan kötü amaçlı bir paket oluşturdukları bir tür siber saldırı olan “yazım hatası” ile uğraşırlar. Bu şekilde, çok çalışan veya dikkati dağılan bir geliştirici yanlış olanı kullanabilir ve müşterilerinin/müşterilerinin sistemlerinin yanı sıra kendi sistemlerini de tehlikeye atabilir.
Tedarik zinciri saldırıları hem yaygın hem de çok yıkıcıdır. Tedarik zinciri saldırılarının muazzam potansiyelinin en iyi örneklerinden biri, 2020’nin sonlarında meydana gelen SolarWinds saldırısıdır. O zamanlar, SolarWinds’in ürünlerinden birinde yapılan bir güncelleme kötü amaçlı yazılımla lekelenmişti ve bu daha sonra kullanıcılarına, bazılarına aktarılmıştı. yüksek profilli şirketler ve devlet kurumları dahil.
Devlet destekli Rus bilgisayar korsanlarının üzerine sabitlenen saldırının, birçok özel sektör şirketine ek olarak dokuz federal kurumu etkilediği tespit edildi. gösterilen.
Başkaları bunun hakkında ne dedi?
Yazdığı yazıda, Uyku Bilgisayarı dağıtılan kötü amaçlı yazılımın gerçekte ne yaptığının henüz bilinmediğini söylüyor. Yayın, “kimliğe bürünme her zaman mümkün” olduğundan, özellikle bilinmeyen depolardan komut dosyaları indirirken dikkatli olmanın önemini vurguluyor. Ayrıca, BleepingComputer okuyucularına, Kuzey Kore devlet destekli tehdit aktörleri Lazarus’un Ocak 2021 kampanyası gibi geçmişte meydana gelen çok sayıda yüksek profilli tedarik zinciri saldırısını hatırlatır.
O zamanlar grup, araştırmacıları kötü amaçlı yazılımla hedeflemek için sosyal medyada sahte güvenlik açığı araştırmacısı kişileri oluşturdu. O yılın ilerleyen saatlerinde, IDA Pro tersine mühendislik yazılımının trojenleştirilmiş bir sürümünü de bu şekilde dağıtmaya çalıştılar.
STK Çevrimiçi, ise, çoğunlukla güvenlik araştırmacılarını hedef alan “alışılmadık” bir saldırı kampanyası olarak nitelendirdi. Ayrıca, genellikle siber güvenlik araştırmacılarına ait uç noktalarda bulunan hassas bilgileri elde etmek isteyen gelişmiş bir kalıcı tehdit (APT) aktörünün işi olduğunu da söylüyor. Ayrıca, deneyimli güvenlik araştırmacılarının “potansiyel olarak kötü amaçlı kodlarla çalışırken genellikle önlem aldıklarını” da ekleyerek, araştırmacıları sahte PoC’ler sunarak hedeflemenin en parlak fikirler olmayabileceğini öne sürüyor. “Kavram kanıtlama açıklarını test ediyorlarsa, bu büyük olasılıkla iyi izlenen ve daha sonra silinen bir sanal makine içindeki bir test sisteminde gerçekleşir.”
Aracılığıyla: Hacker Haberleri
