GitCaught:脅威アクターによる悪意のあるインフラストラクチャを拡散するためのGitHubリポジトリの活用

GitCaught:脅威アクターによる悪意のあるインフラストラクチャを拡散するためのGitHubリポジトリの活用

insikt-group-logo-updated-3-300x48.png

最近の調査で、Recorded FutureのInsikt Groupは、独立国家共同体(CIS)のロシア語を話す脅威アクターが主導する高度なサイバー犯罪キャンペーンを発見しました。 これらの脅威アクターは、GitHubプロファイルを利用して、1Password、Bartender 5、Pixelmator Proなどの正規のソフトウェアアプリケーションになりすまし、Atomic macOS Stealer(AMOS)やVidarなどのさまざまな種類のマルウェアを配布しました。 この悪意のある活動は、信頼できるインターネット サービスを悪用して、個人情報を盗むサイバー攻撃を画策していることを浮き彫りにしています。

GitCaught: サイバー攻撃におけるGitHubの悪用を暴露

脅威アクターは、GitHub上の偽のプロファイルとリポジトリを巧みに作成し、有名なソフトウェアの偽造バージョンを提示しました。 これらのマルウェアの亜種は、ユーザーのシステムに侵入して機密データを盗むように設計されており、ソフトウェア開発とユーザーがそのようなプラットフォームに寄せる信頼の両方に対する攻撃者の深い理解を示しています。

分析の結果、 Atomic macOS Stealer(AMOS)、Vidar、Lumma、Octoなどのマルウェアの亜種は、スタンドアロンのオペレーションではないことが明らかになりました。 両者は共通の コマンド&コントロール(C2)インフラを共有しており、攻撃の影響を最大化するための協調的な取り組みを示唆しています。 この共有されたC2セットアップは、豊富なリソースと、さまざまなオペレーティングシステムやデバイス間で持続的なサイバー攻撃を仕掛ける能力を備えた高度に組織化されたグループを示唆しています。

マルウェアの亜種の進化は、サイバーセキュリティ防御に大きな課題をもたらします。 従来のセキュリティ対策では、このような高度で進化する脅威に対しては不十分な場合がよくあります。 このキャンペーンの複雑さと新しいマルウェアの戦術の継続的な開発により、サイバーセキュリティに対する積極的かつ動的なアプローチが必要です。

短期的には、組織は、特に外部コードを環境に統合する際に、厳格なセキュリティプロトコルを採用することが求められています。 組織全体のコード レビュー プロセスを実装し、GitGuardian、 Checkmarx、GitHub Advanced Security などの自動スキャン ツールを利用して、コード内の潜在的なマルウェアや疑わしいパターンを検出する必要があります。

中期的には、企業は、マルウェアのゲートウェイとして機能する可能性のある不正なアプリケーションやサードパーティのスクリプトを監視およびブロックする戦略を開発することにより、全体的なサイバーセキュリティ体制を強化する必要があります。 また、今回の調査で明らかになったような多面的なキャンペーンに立ち向かうためには、インテリジェンスを共有し、より広範なサイバーセキュリティコミュニティと協力することが不可欠です。

文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

侵害の兆候

ドメイン:
aptonic[.]xyz
arcbrowser[.]pro
cleanmymac[.]pro
cleanshot[.]ink
dekabristiney.fvds[.]ru
figma[.]lat
iina-app[.]lat
lightpillar[.]lat
macbartender[.]lat
orbitpettystudio[.]fun
parallelsdesktop[.]pro
password-app[.]pro
patrikbob100.fvds[.]ru
pixelmator[.]pics
pixelmator[.]us
punchtelephoneverdi[.]store
rainway[.]cloud
rize[.]lat
servicescraft[.]buzz
setapp[.]ink
sipapp[.]lat
skylum[.]store
smallrabbitcrossing[.]site
snuggleapplicationswo[.]fun
strainriskpropos[.]store
telephoneverdictyow[.]site
theoryapparatusjuko[.]fun
ultradelux[.]buzz

IP Addresses: 5.42.64[.]45
5.42.64[.]83
5.42.65[.]108
5.42.65[.]114
31.41.244[.]77
45.61.137[.]213
49.13.89[.]149
77.246.158[.]48
81.31.245[.]209
95.217.234[.]153
140.82.20[.]165
185.172.128[.]132
185.215.113[.]55
188.120.227[.]9
193.149.189[.]199
195.85.115[.]195

URL:
github[.]com/papinyurii33

SHA256 Hashes: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AES Keys:
3335366532396633346264303137363965376666616565313833623436353833
3534353639643261616165373137363333356136376266373265383637333666