Um ator de ameaça identificado como MUT-1244 roubou mais de 390.000 credenciais do WordPress em uma campanha de grande escala e de duração anual que visava outros atores de ameaças usando um verificador de credenciais do WordPress trojanizado.
Os pesquisadores da Datadog Security Labs, que detectaram os ataques, dizem que chaves privadas SSH e chaves de acesso AWS também foram roubadas dos sistemas comprometidos de centenas de outras vítimas, acredita-se que incluam red teamers, pentesters, pesquisadores de segurança, bem como atores maliciosos.
As vítimas foram infectadas usando o mesmo payload de segunda fase distribuída por dezenas de repositórios GitHub trojanizados entregando exploits maliciosos de prova de conceito (PoC) que visavam falhas de segurança conhecidas, juntamente com uma campanha de phishing induzindo os alvos a instalar um falso upgrade de kernel camuflado como uma atualização de microcódigo de CPU.
Enquanto os e-mails de phishing enganaram as vítimas a executar comandos que instalaram o malware, os repositórios falsificados enganaram profissionais de segurança e atores de ameaças em busca de código de exploit para vulnerabilidades específicas.
Atores de ameaças utilizaram exploits de prova de conceito falsos no passado para visar pesquisadores, com o objetivo de roubar pesquisas valiosas ou ganhar acesso às redes de empresas de cibersegurança.
"Devido ao seu nome, vários desses repositórios são automaticamente incluídos em fontes legítimas, como Feedly Threat Intelligence ou Vulnmon, como repositórios de prova de conceito para essas vulnerabilidades," disseram os pesquisadores.
Isso aumenta a aparência de legitimidade e a probabilidade de alguém executá-los.
Os payloads foram distribuídas via repositórios GitHub usando múltiplos métodos, incluindo arquivos de compilação configure com backdoor, arquivos PDF maliciosos, droppers em Python e pacotes npm maliciosos incluídos nas dependências dos projetos.
Como a Datadog Security Labs descobriu, essa campanha coincide com uma destacada em um relatório de novembro da Checkmarkx sobre um ataque à cadeia de suprimentos de duração anual no qual o projeto GitHub "hpc20235/yawp" foi trojanizado usando código malicioso no pacote npm "0xengine/xmlrpc" para roubar dados e minerar a criptomoeda Monero.
O malware implantado nesses ataques inclui um minerador de criptomoeda e um backdoor que ajudou o MUT-1244 a coletar e exfiltrar chaves privadas SSH, credenciais AWS, variáveis de ambiente e conteúdos de diretórios chave como "~/.aws".
O payload de segunda fase, hospedada em uma plataforma separada, permitiu que os atacantes exfiltrassem dados para serviços de compartilhamento de arquivos como Dropbox e file.io, com os investigadores encontrando credenciais codificadas para essas plataformas dentro do payload dando aos atacantes fácil acesso às informações roubadas.
"MUT-1244 conseguiu acessar mais de 390.000 credenciais, acredita-se serem do WordPress.
Avaliamos com alta confiança que, antes dessas credenciais serem exfiltradas para o Dropbox, estavam nas mãos de atores ofensivos, que provavelmente as adquiriram por meios ilícitos," disseram os pesquisadores da Datadog Security Labs.
Esses atores foram então comprometidos através da ferramenta yawpp que usaram para verificar a validade dessas credenciais.
Já que o MUT-1244 anunciou o yawpp como um 'verificador de credenciais' para o WordPress, não é surpresa que um atacante com um conjunto de credenciais roubadas (que muitas vezes são compradas de mercados subterrâneos como forma de acelerar operações de atores de ameaças) usaria o yawpp para validá-las.
Os atacantes exploraram com sucesso a confiança dentro da comunidade de cibersegurança para comprometer dezenas de máquinas pertencentes a hackers ethicos e malignos depois que os alvos executaram, sem saber, o malware do ator de ameaça, levando ao roubo de dados que incluíam chaves SSH, tokens de acesso AWS e históricos de comando.
A Datadog Security Labs estima que centenas de sistemas permanecem comprometidos, e outros ainda estão sendo infectados como parte desta campanha em andamento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...