390 000 аккаунтов WordPress украдены в результате крупномасштабной атаки
Злоумышленник, отслеживаемый как MUT-1244, украл более 390 000 учетных данных WordPress в ходе годичной кампании скрытых атак.
Злоумышленник, отслеживаемый как MUT-1244, украл более 390 000 учетных данных WordPress в ходе 12-месячной скрытой кампании. Это крупномасштабная атака, использующая троянскую систему проверки входа в WordPress.
Исследователи из Datadog Security Labs, которые первыми обнаружили атаки, заявили, что закрытые ключи SSH и ключи доступа к AWS также были украдены из скомпрометированных систем сотен различных жертв, в число которых, как полагают, входили административные группы, тестеры на проникновение, исследователи безопасности и злоумышленники.
Жертвы были заражены одной и той же полезной нагрузкой второго этапа, размещенной в десятках зараженных троянами репозиториев GitHub, обеспечивая вредоносные процессы проверки концепции (PoC), нацеленные на известные уязвимости, а также фишинговую кампанию, продвигающую установку поддельного обновления ядра, замаскированного под процессор. обновление микрокода.
В прошлом злоумышленники использовали поддельные процессы проверки концепции для нападения на исследователей, надеясь украсть ценные документы или получить доступ к внутренним сетям компаний, занимающихся кибербезопасностью.
Из-за вводящего в заблуждение названия некоторые из этих репозиториев автоматически включаются в законные источники, такие как Feedly Threat Intelligence или Vulnmon, как репозитории PoC для соответствующих уязвимостей. Это повышает легитимность вредоносного ПО и вероятность привлечения жертв к его запуску.
Вредоносное ПО было добавлено через репозиторий GitHub с использованием различных методов, включая файлы конфигурации с бэкдором, вредоносные PDF-файлы, программы-дропы Python и вредоносные пакеты npm, включенные в зависимости проекта.
Как обнаружила Datadog Security Labs, эта кампания совпадает с кампанией, описанной в ноябрьском отчете Checkmarkx о продолжавшейся год атаке на цепочку поставок, в ходе которой проект GitHub “hpc20235/yawp” был заражен вредоносным кодом в пакете npm “0xengine/xmlrpc”. «чтобы украсть данные и добыть криптовалюту Monero.
Вредоносное ПО, развернутое в ходе этих атак, включало майнер криптовалюты и бэкдор, который позволял MUT-1244 собирать и красть частные ключи SSH, учетные данные AWS, переменные среды и содержимое каталога ключей, например «~/.aws».
«MUT-1244 смог получить доступ к более чем 390 000 учетным данным, предположительно являющимся входами в WordPress. Мы с высокой степенью уверенности оцениваем, что до того, как эти учетные данные были помещены в Dropbox, они уже находились в руках злоумышленников и, скорее всего, были украдены незаконным путем». заявили исследователи из Datadog Security Labs.
390 000 аккаунтов WordPress украдены в результате крупномасштабной атаки. Изображение 1
Затем эти субъекты были скомпрометированы с помощью инструмента yawpp, который они использовали для проверки действительности этих учетных данных. Поскольку MUT-1244 рекламирует yawpp как «средство проверки учетных данных» для WordPress, неудивительно, что злоумышленник с набором украденных учетных данных (часто приобретаемых на подпольных рынках в качестве способа ускорения вредоносной активности) будет использовать yawpp для их аутентификации.
Злоумышленники успешно воспользовались доверием в сообществе кибербезопасников и скомпрометировали десятки компьютеров, принадлежащих как белым, так и черным хакерским сообществам, в основном путем непреднамеренного запуска вредоносного ПО злоумышленника, что привело к краже данных, включая ключи SSH, токены доступа AWS и команды. история.
По оценкам Datadog Security Labs, сотни систем остаются скомпрометированными, и многие другие все еще подвергаются заражению в рамках этой продолжающейся кампании.
Мика Сото
Обновление от 20 декабря 2024 г.