390.000 λογαριασμοί WordPress κλάπηκαν από χάκερ σε επίθεση στην αλυσίδα εφοδιασμού

Ένας παράγοντας απειλών που παρακολουθείται ως MUT-1244 έχει κλέψει πάνω από 390.000 διαπιστευτήρια WordPress σε μια μεγάλης κλίμακας, διάρκειας ενός έτους καμπάνια που στοχεύει άλλους παράγοντες απειλών, χρησιμοποιώντας έναν trojanized έλεγχο διαπιστευτηρίων WordPress.

Ερευνητές στο Datadog Security Labs, που εντόπισαν τις επιθέσεις, λένε ότι τα ιδιωτικά κλειδιά SSH και τα κλειδιά πρόσβασης AWS κλάπηκαν επίσης από τα παραβιασμένα συστήματα εκατοντάδων άλλων θυμάτων, που πιστεύεται ότι περιλαμβάνουν red teamers, ελεγκτές διείσδυσης, ερευνητές ασφαλείας, καθώς και κακόβουλους παράγοντες .

Τα θύματα μολύνθηκαν χρησιμοποιώντας το ίδιο ωφέλιμο φορτίο δεύτερου σταδίου που προωθήθηκε μέσω δεκάδων τρωανοποιημένων αποθετηρίων GitHub παρέχοντας κακόβουλες εκμεταλλεύσεις απόδειξης της ιδέας (PoC) που στόχευαν γνωστά ελαττώματα ασφαλείας, μαζί με μια καμπάνια ηλεκτρονικού ψαρέματος που ωθεί τους στόχους να εγκαταστήσουν μια ψεύτικη αναβάθμιση πυρήνα καμουφλαρισμένη ως μια ενημέρωση μικροκώδικα CPU.

Ενώ τα μηνύματα ηλεκτρονικού ψαρέματος εξαπατούσαν τα θύματα να εκτελέσουν εντολές που εγκατέστησαν το κακόβουλο λογισμικό, τα ψεύτικα αποθετήρια εξαπατούσαν τους επαγγελματίες ασφαλείας και τους παράγοντες απειλών που αναζητούσαν κώδικα εκμετάλλευσης για συγκεκριμένα τρωτά σημεία.

Οι φορείς απειλών έχουν χρησιμοποιήσει ψεύτικα εκμεταλλεύσεις απόδειξης ιδέας στο παρελθόν για να στοχεύσουν ερευνητές, ελπίζοντας να κλέψουν πολύτιμη έρευνα ή να αποκτήσουν πρόσβαση στα δίκτυα των εταιρειών κυβερνοασφάλειας.

«Λόγω της ονομασίας τους, πολλά από αυτά τα αποθετήρια περιλαμβάνονται αυτόματα σε νόμιμες πηγές, όπως το Feedly Threat Intelligence ή το Vulnmon, ως αποθετήρια απόδειξης της ιδέας για αυτά τα τρωτά σημεία», είπαν οι ερευνητές.» Αυτό αυξάνει την εμφάνισή τους ως προς τη νομιμότητα και την η πιθανότητα κάποιος να τους διευθύνει».

Τα ωφέλιμα φορτία απορρίφθηκαν μέσω αποθετηρίων GitHub χρησιμοποιώντας πολλαπλές μεθόδους, συμπεριλαμβανομένων αρχείων μεταγλώττισης παραμέτρων με κερκόπορτα, κακόβουλων αρχείων PDF, droppers Python και κακόβουλων πακέτων npm που περιλαμβάνονται στις εξαρτήσεις των έργων.

Όπως διαπίστωσε η Datadog Security Labs, αυτή η καμπάνια επικαλύπτεται με μία που επισημαίνεται στο α Αναφορά Νοεμβρίου Checkmarkx περίπου μια επίθεση εφοδιαστικής αλυσίδας διάρκειας ενός έτους κατά την οποία το έργο GitHub “hpc20235/yawp” τρωανοποιήθηκε χρησιμοποιώντας κακόβουλο κώδικα στο πακέτο npm “0xengine/xmlrpc” για την κλοπή δεδομένων και την εξόρυξη κρυπτονομίσματος Monero.

Το κακόβουλο λογισμικό που αναπτύσσεται σε αυτές τις επιθέσεις περιλαμβάνει έναν εξόρυξη κρυπτονομισμάτων και μια κερκόπορτα που βοήθησε το MUT-1244 να συλλέξει και να εκμεταλλευτεί ιδιωτικά κλειδιά SSH, διαπιστευτήρια AWS, μεταβλητές περιβάλλοντος και περιεχόμενα καταλόγου κλειδιών όπως “~/.aws”.

Το ωφέλιμο φορτίο δεύτερου σταδίου, που φιλοξενήθηκε σε ξεχωριστή πλατφόρμα, επέτρεψε στους εισβολείς να διευρύνουν δεδομένα σε υπηρεσίες κοινής χρήσης αρχείων όπως το Dropbox και το file.io, με τους ερευνητές να βρίσκουν κωδικοποιημένα διαπιστευτήρια για αυτές τις πλατφόρμες εντός του ωφέλιμου φορτίου, δίνοντας στους εισβολείς εύκολη πρόσβαση στο κλεμμένες πληροφορίες.

“Το MUT-1244 μπόρεσε να αποκτήσει πρόσβαση σε περισσότερα από 390.000 διαπιστευτήρια, που πιστεύεται ότι ήταν του WordPress. Αξιολογούμε με μεγάλη σιγουριά ότι πριν αυτά τα διαπιστευτήρια διεισδύσουν στο Dropbox, βρίσκονταν στα χέρια επιθετικών παραγόντων, οι οποίοι πιθανότατα τα απέκτησαν με παράνομους τρόπους », ερευνητές της Datadog Security Labs είπε.

“Αυτοί οι ηθοποιοί στη συνέχεια παραβιάστηκαν μέσω του εργαλείου yawpp που χρησιμοποιούσαν για να ελέγξουν την εγκυρότητα αυτών των διαπιστευτηρίων. Εφόσον το MUT-1244 διαφήμιζε το yawpp ως “έλεγχος διαπιστευτηρίων” για το WordPress, δεν αποτελεί έκπληξη το γεγονός ότι ένας εισβολέας με ένα σύνολο κλεμμένων διαπιστευτηρίων (τα οποία είναι που συχνά αγοράζονται από υπόγειες αγορές ως τρόπος επιτάχυνσης των επιχειρήσεων απειλών) θα χρησιμοποιούσαν το yawpp για να τις επικυρώσουν.”

Οι εισβολείς εκμεταλλεύτηκαν επιτυχώς την εμπιστοσύνη στην κοινότητα της κυβερνοασφάλειας για να παραβιάσουν δεκάδες μηχανήματα που ανήκαν σε χάκερ λευκού καπέλου και μαύρου καπέλου, αφού οι στόχοι εκτέλεσαν εν αγνοία τους το κακόβουλο λογισμικό του παράγοντα απειλής, οδηγώντας σε κλοπή δεδομένων που περιελάμβανε κλειδιά SSH, διακριτικά πρόσβασης AWS και ιστορικά εντολών.

Η Datadog Security Labs εκτιμά ότι εκατοντάδες συστήματα παραμένουν σε κίνδυνο, ενώ άλλα εξακολουθούν να μολύνονται ως μέρος αυτής της συνεχιζόμενης εκστρατείας.