Ein Bedrohungsakteur, der als MUT-1244 identifiziert wurde, hat in einer groß angelegten, ein Jahr andauernden Kampagne, die auf andere Bedrohungsakteure abzielte, mehr als 390.000 WordPress-Anmeldedaten gestohlen, indem er einen trojanisierten WordPress-Anmeldedaten-Checker verwendete.
Forscher der Datadog Security Labs, die die Angriffe entdeckten, sagen, dass private SSH-Schlüssel und AWS-Zugangsschlüssel auch von den kompromittierten Systemen hunderter anderer Opfer gestohlen wurden, zu denen vermutlich Red Teamer, Penetrationstester, Sicherheitsforscher sowie böswillige Akteure gehören.
Die Opfer wurden mit der gleichen Nutzlast der zweiten Stufe infiziert, die über Dutzende von trojanisierten GitHub-Repositories verbreitet wurde, die bösartige Proof-of-Concept (PoC)-Exploits lieferten, die auf bekannte Sicherheitslücken abzielten, sowie eine Phishing-Kampagne, die die Zielpersonen aufforderte, ein gefälschtes Kernel-Upgrade zu installieren, das als CPU-Mikrocode-Update getarnt war.
Während die Phishing-E-Mails die Opfer dazu brachten, Befehle auszuführen, die die Malware installierten, täuschten die gefälschten Repositories Sicherheitsexperten und Bedrohungsakteure, die nach Exploit-Code für bestimmte Sicherheitslücken suchten.
Bedrohungsakteure haben in der Vergangenheit gefälschte Proof-of-Concept-Exploits verwendet, um Forscher anzugreifen, in der Hoffnung, wertvolle Forschungsergebnisse zu stehlen oder Zugang zu den Netzwerken von Cybersicherheitsfirmen zu erhalten.
"Aufgrund ihrer Namensgebung werden mehrere dieser Repositories automatisch in legitime Quellen wie Feedly Threat Intelligence oder Vulnmon als Proof-of-Concept-Repositories für diese Schwachstellen aufgenommen", so die Forscher. Das erhöht ihren Anschein von Legitimität und die Wahrscheinlichkeit, dass jemand sie ausführt."
Die Payloads wurden über GitHub-Repos mit verschiedenen Methoden verbreitet, darunter mit Backdoored-Configure-Kompilationsdateien, bösartigen PDF-Dateien, Python-Droppern und bösartigen npm-Paketen, die in den Abhängigkeiten der Projekte enthalten waren.
Wie Datadog Security Labs herausfand, überschneidet sich diese Kampagne mit einer, die in einem Checkmarkx-Bericht vom November über einen einjährigen Supply-Chain-Angriff hervorgehoben wurde, bei dem das GitHub-Projekt "hpc20235/yawp" mit Hilfe von bösartigem Code im npm-Paket "0xengine/xmlrpc" trojanisiert wurde, um Daten zu stehlen und die Kryptowährung Monero zu schürfen.
Die bei diesen Angriffen eingesetzte Malware umfasst einen Cryptocurrency-Miner und eine Backdoor, mit deren Hilfe MUT-1244 private SSH-Schlüssel, AWS-Anmeldeinformationen, Umgebungsvariablen und Inhalte von Schlüsselverzeichnissen wie "~/.aws" sammeln und exfiltrieren konnte.
Die zweite Stufe der Nutzlast, die auf einer separaten Plattform gehostet wurde, ermöglichte es den Angreifern, Daten zu File-Sharing-Diensten wie Dropbox und file.io zu exfiltrieren. Die Ermittler fanden in der Nutzlast hartkodierte Anmeldedaten für diese Plattformen, die den Angreifern einen einfachen Zugriff auf die gestohlenen Daten ermöglichten.
.jpg "390.000 WordPress-Konten von Hackern bei Angriff auf Lieferkette gestohlen 1")
"MUT-1244 konnte sich Zugang zu über 390.000 Anmeldedaten verschaffen, bei denen es sich vermutlich um WordPress-Daten handelt. Wir gehen mit hoher Wahrscheinlichkeit davon aus, dass sich diese Zugangsdaten, bevor sie zu Dropbox exfiltriert wurden, in den Händen von Angreifern befanden, die sie wahrscheinlich durch illegale Mittel erworben haben", so die Forscher von Datadog Security Labs.
"Diese Akteure wurden dann durch das Tool yawpp kompromittiert, das sie zur Überprüfung der Gültigkeit dieser Anmeldeinformationen verwendet haben. Da MUT-1244 yawpp als "Credentials Checker" für WordPress anpries, ist es nicht verwunderlich, dass ein Angreifer mit einem Satz gestohlener Zugangsdaten (die oft auf Untergrundmärkten gekauft werden, um die Operationen der Bedrohungsakteure zu beschleunigen) yawpp verwenden würde, um sie zu validieren.
Die Angreifer nutzten erfolgreich das Vertrauen innerhalb der Cybersecurity-Community aus, um Dutzende von Rechnern zu kompromittieren, die sowohl White-Hat- als auch Black-Hat-Hackern gehörten, nachdem die Ziele unwissentlich die Malware des Bedrohungsakteurs ausgeführt hatten, was zu einem Datendiebstahl führte, der SSH-Schlüssel, AWS-Zugangstoken und Befehlsverläufe umfasste.
Datadog Security Labs schätzt, dass noch Hunderte von Systemen betroffen sind und weitere im Rahmen der laufenden Kampagne infiziert werden.
