Un actor de amenazas identificado como MUT-1244 robó más de 390.000 credenciales de WordPress en una campaña a gran escala de un año de duración dirigida a otros actores de amenazas que utilizaban un verificador de credenciales de WordPress como caballo de Troya.
Los investigadores de Datadog Security Labs, que detectaron los ataques, dicen que las claves privadas SSH y las claves de acceso de AWS también fueron robadas de los sistemas comprometidos de cientos de otras víctimas, incluidos equipos rojos, probadores de software, intrusos, investigadores de seguridad, así como actores maliciosos. .
Las víctimas fueron infectadas utilizando la misma carga útil de segunda etapa entregada a través de docenas de repositorios troyanos en GitHub que entregaban exploits maliciosos de prueba de concepto (PoC) dirigidos a vulnerabilidades de seguridad conocidas, así como una campaña de phishing que engañaba a los objetivos para que instalaran una actualización falsa del kernel disfrazada de Actualización del microcódigo de la CPU.
Mientras que los correos electrónicos de phishing engañaban a las víctimas para que ejecutaran comandos para instalar el malware, los repositorios falsos engañaban a los profesionales de la seguridad y a los actores maliciosos que buscaban explotar el código para vulnerabilidades específicas.
En el pasado, los actores de amenazas han utilizado pruebas de concepto falsas para atacar a los investigadores, con la esperanza de robar investigaciones valiosas u obtener acceso a las redes de las empresas de ciberseguridad.
“Debido a su denominación, varios de estos repositorios se incluyen automáticamente en fuentes legítimas, como Feedly Threat Intelligence o Vulnmon, como repositorios de prueba de concepto para estas vulnerabilidades”, dijeron los investigadores. lo más probable es que alguien los esté dirigiendo”.
Las cargas útiles se eliminaron a través de repositorios de GitHub utilizando múltiples métodos, incluidos archivos de configuración robados, archivos PDF maliciosos, droppers de Python y paquetes npm maliciosos incluidos en las dependencias del proyecto.
Como descubrió Datadog Security Labs, esta campaña se superpone con una resaltada en un Informe de noviembre de Checkmarkx aproximadamente un año de ataque a la cadena de suministro en el que el proyecto GitHub “hpc20235/yawp” fue troyanizado utilizando código malicioso en el paquete npm “0xengine/xmlrpc” para robar datos y extraer la criptomoneda Monero.
El malware implementado en estos ataques incluye un minero de criptomonedas y una puerta trasera que ayudó a MUT-1244 a recopilar y filtrar claves SSH privadas, credenciales de AWS, variables de entorno y contenido del directorio de claves, como “~/.aws”.
La carga útil de la segunda etapa, alojada en una plataforma separada, permitió a los atacantes filtrar datos a servicios de intercambio de archivos como Dropbox y file.io, y los investigadores encontraron credenciales codificadas para estas plataformas en la carga útil, lo que les dio a los atacantes un fácil acceso a los datos robados. información.
.jpg)
“MUT-1244 pudo acceder a más de 390.000 credenciales, probablemente de WordPress. Estimamos con gran confianza que antes de que estas credenciales fueran exfiltradas a Dropbox, estaban en manos de actores ofensivos, que probablemente las adquirieron a través de medios ilícitos”, investigadores en los laboratorios de seguridad de Datadog. dicho.
“Estos actores luego fueron comprometidos a través de la herramienta yawpp que utilizaron para verificar la validez de estas credenciales. Dado que MUT-1244 anunció yawpp como un “verificador de credenciales” para WordPress, “No es sorprendente que un atacante con un conjunto de credenciales robadas (que a menudo se compran en mercados clandestinos para acelerar las operaciones de los actores de amenazas) usarían yawpp para validarlos”.
Los atacantes aprovecharon con éxito la confianza dentro de la comunidad de ciberseguridad para comprometer docenas de máquinas pertenecientes a piratas informáticos de sombrero blanco y sombrero negro después de que los objetivos, sin saberlo, ejecutaron la amenaza de malware del actor, lo que llevó al robo de datos, incluidas claves SSH, tokens de acceso de AWS e historiales de comandos.
Datadog Security Labs estima que cientos de sistemas siguen comprometidos y muchos más siguen infectados como parte de esta campaña en curso.