Jak działał atak MUT-1244?
W ramach szeroko zakrojonej kampanii cyberprzestępczej, atakujący oznaczony kodem MUT-1244 wykorzystał szereg zaawansowanych technik, aby zinfiltrować środowiska IT i ukraść wrażliwe dane. Istotnym elementem strategii był zainfekowany trojanem program służący do weryfikacji danych uwierzytelniających WordPress. Przeprowadzony atak doprowadził do kradzieży ponad 390 000 poświadczeń oraz prywatnych kluczy SSH i tokenów dostępu do AWS.
Jak wskazują badacze z Datadog Security Labs, MUT-1244 nie ograniczał się jedynie do jednego rodzaju ofiar. Na liście poszkodowanych znaleźli się członkowie czerwonych zespołów, testerzy penetracyjni, badacze bezpieczeństwa, a nawet inni cyberprzestępcy. Ofiary nieświadomie pobierały złośliwe oprogramowanie z zainfekowanych repozytoriów GitHub lub instalowały je w wyniku ataków phishingowych, które rzekomo miały być postrzegane, jako aktualizacje mikrokodu procesora.
Mechanizmy i techniki wykorzystane w kampanii
Atakujący używali różnych metod, aby zwiększyć skuteczność swoich działań. W repozytoriach GitHub pojawiały się złośliwe pliki, takie jak droppery Pythona, zainfekowane pakiety npm, czy fałszywe pliki PDF. Część repozytoriów była starannie nazwana, co umożliwiało im automatyczne pojawianie się w źródłach uznawanych za wiarygodne, takich jak Feedly Threat Intelligence. Dzięki temu zyskiwały pozory legalności i przyciągały zarówno ekspertów ds. bezpieczeństwa, jak i innych cyberprzestępców poszukujących dowodów koncepcji (PoC) dla exploitów.
Jednym z głównych narzędzi użytych w ataku było narzędzie oznaczone jako "yawpp," które MUT-1244 reklamował jako sprawdzacz poświadczeń WordPress. To właśnie za jego pomocą atakujący mogli weryfikować skradzione dane uwierzytelniające, zdobyte na czarnych rynkach. Złośliwe oprogramowanie wykorzystywało też tylne wejścia, które umożliwiały kradzież dodatkowych danych, takich jak zmienne środowiskowe czy zawartość katalogów „~/.aws”.
Ważnym elementem ataku był również drugi etap infekcji, w którym złośliwe oprogramowanie przesyłało skradzione dane na platformy do udostępniania plików, takie jak Dropbox i file.io. Dane uwierzytelniające tych usług były zakodowane w ładunku, co umożliwiało atakującym łatwy dostęp do przechowywanych informacji.
Skutki i wnioski
Raport Datadog Security Labs podkreśla, że skutki ataku są dalekosiężne. Oprócz kradzieży danych uwierzytelniających, atakujący zainfekowali dziesiątki komputerów należących do hakerów "white hat" oraz "black hat," wykradając wrażliwe informacje, takie jak klucze SSH czy tokeny dostępu AWS. W trakcie ataku, ofiary uruchamiały złośliwe oprogramowanie, nieświadomie ułatwiając hakerom dostęp do swoich systemów.
Atak ten, jak zauważyli badacze, pokrywa się z wcześniejszymi incydentami opisanymi w raporcie Checkmarkx, w którym wskazano na wykorzystanie złośliwego pakietu npm „0xengine/xmlrpc” w projekcie GitHub „hpc20235/yawp.” Tamten atak miał na celu kradzież danych i wydobywanie kryptowaluty Monero. Podobnie, w bieżącej kampanii użyto koparki kryptowalut, aby dodatkowo monetyzować działalność przestępczą.
Co gorsza, społeczność zajmująca się cyberbezpieczeństwem była nie tylko celem, ale także nieświadomym narzędziem w rękach atakujących. Zaufanie do legalnych repozytoriów i skryptów umożliwiło hakerom skuteczne infiltracje. Datadog Security Labs ocenia, że setki systemów nadal pozostają zagrożone, a infekcje są wciąż aktywne.
Atak MUT-1244 pokazuje, jak zaufanie w branży cyberbezpieczeństwa może być wykorzystane przeciwko niej samej. To ostrzeżenie, że nawet eksperci muszą zachować czujność wobec pozornie wiarygodnych źródeł i narzędzi.
