Два разных проекта GitHub вызывают интерес со стороны независимых участников

Новая кампания по распространению вредоносного ПО использует GitHub для распространения
В ходе примечательного инцидента, о котором сообщалось вчера, два человека независимо друг от друга обратились по поводу подозрительной деятельности в различных проектах GitHub. «Тито» связался через прямое сообщение по поводу комментария, в котором утверждалось, что у него есть патч для «Сынары», в то время как «Роберт З» поделился аналогичными опасениями относительно другого проекта. Оба случая свидетельствуют о тревожной тенденции в сфере кибербезопасности: зарождающейся кампании по распространению вредоносного ПО с использованием GitHub в качестве платформы для распространения.
Анатомия угрозы
Более глубокое расследование показало, что в сети появилось несколько файлов, связанных с этим вредоносным ПО, все с разными именами, в том числе:
Похоже, что отдельный человек или группа создают учетные записи на GitHub для участия в, казалось бы, безобидной деятельности — комментировании открытых проблем с утверждениями о том, что они нашли исправление. Однако при дальнейшем изучении выяснилось, что эти исправления имеют вредоносный характер.
Сроки и техническая информация
Похоже, что эта кампания началась примерно 7 июля 2023 года, быстро набрала обороты и распространилась по различным каналам. Сама вредоносная программа представляет собой программу, написанную на Go. При выполнении двоичный файл подключается к удаленному хосту, связанному с Telegram.
Что еще более важно, канал Telegram, связанный с вредоносным ПО, имеет описание, в котором указан веб-сайт. Цель этого веб-сайта — предоставить полезную нагрузку для извлечения данных. Эта методология позволяет преступникам быстро адаптироваться; если указанный веб-сайт будет закрыт, они смогут легко изменить описание канала Telegram для перенаправления на новый адрес. По сути, это создает импровизированный преобразователь DNS для облегчения их работы.
Идентификация вредоносного ПО: StealC
Согласно идентификаторам YARA, эта новая угроза обозначена как «StealC», что указывает на ее предполагаемую функцию — кражу информации. Эта адаптивная стратегия, использующая тактику спама GitHub вместе с импровизированным преобразователем DNS через Telegram, демонстрирует новый подход в сфере киберпреступности. Использование Telegram в качестве площадки для операций командования и контроля ставит уникальные проблемы; Платформа, как известно, медленно реагирует на запросы об удалении, что подбадривает злоумышленников.
Заключение
Рост этой кампании по распространению вредоносного ПО подчеркивает сложность способов, с помощью которых злоумышленники используют законные платформы для проникновения в пользовательские системы. Интеграция GitHub, обычно центра разработки программного обеспечения и совместной работы, в такую гнусную деятельность знаменует собой тревожную тенденцию как для разработчиков, так и для специалистов по безопасности. Сохранение бдительности и содействие сотрудничеству между специалистами по кибербезопасности будут иметь важное значение для смягчения подобных угроз в будущем.
Вчера два разных человека связались со мной по поводу двух разных проектов на GitHub. «Тито» написал мне в личку о том, что кто-то оставил комментарий на GitHub, утверждая, что у него есть патч для «synara» (Изображение 1). «Роберт З.» написал по электронной почте о чем-то похожем в другом проекте GitHub (изображение 2). Интересный. В ходе дальнейшего расследования выяснилось, что именно этот файл был обнаружен в Интернете под названием: - hb_patch_v1112 - реестр_патч_v0.1.7 - Rep_fix_v1.zip - натрия_fix_v1 - log_fix_patch бла-бла-бла (изображение 3) По сути, кто-то создает учетные записи на GitHub, открывает проблемы и оставляет комментарий о том, что нашел патч (скорее всего, это автоматизировано, но неважно). Патч представляет собой вредоносное ПО. Похоже, что эта кампания началась примерно 7 июля (вчера) и набирает обороты довольно быстро. Если заглянуть внутрь (хе-хе глупая ссылка), то окажется, что это программа, написанная на Go. Когда двоичный файл взрывается, он запрашивает удаленный хост, который разрешает... Telegram. В описании канала Telegram указан сайт. Веб-сайт в описании Telegram также является местом, где полезная нагрузка также удаляет код. Они делают это таким образом, потому что могут быстро изменить описание канала Telegram, если указанный ими веб-сайт будет закрыт. По сути, это контрафактный преобразователь DNS (изображение 4). В любом случае это StealC (на основе идентификаторов YARA). Это (вероятно) новая вредоносная кампания, организованная кем-то, использующим StealC. Мне это нравится. Очень крутое использование спама GitHub в сочетании с контрафактным преобразователем DNS в Telegram. Вероятно, это помогает, потому что я сомневаюсь, что Telegram быстро отреагирует на запросы об удалении. Вчера со мной связались два разных человека по поводу двух разных проектов на GitHub. «Тито» написал мне в личку о том, что кто-то оставил комментарий на GitHub, утверждая, что у него есть патч для «synara» (Изображение 1). «Роберт З.» написал по электронной почте о чем-то похожем в другом проекте GitHub (изображение 2). Интересный. В ходе дальнейшего расследования выяснилось, что именно этот файл был обнаружен в Интернете под названием: - hb_patch_v1112 - реестр_патч_v0.1.7 - Rep_fix_v1.zip - натрия_fix_v1 - log_fix_patch бла-бла-бла (изображение 3) По сути, кто-то создает учетные записи на GitHub, открывает проблемы и оставляет комментарий о том, что нашел патч (скорее всего, это автоматизировано, но неважно). Патч представляет собой вредоносное ПО. Похоже, что эта кампания началась примерно 7 июля (вчера) и набирает обороты довольно быстро. Если заглянуть внутрь (хе-хе глупая ссылка), то окажется, что это программа, написанная на Go. Когда двоичный файл взрывается, он запрашивает удаленный хост, который разрешает... Telegram. В описании канала Telegram указан сайт. Веб-сайт в описании Telegram также является местом, где полезная нагрузка также удаляет код. Они делают это таким образом, потому что могут быстро изменить описание канала Telegram, если указанный ими веб-сайт будет закрыт. По сути, это контрафактный преобразователь DNS (изображение 4). В любом случае это StealC (на основе идентификаторов YARA). Это (вероятно) новая вредоносная кампания, организованная кем-то, использующим StealC. Мне это нравится. Очень крутое использование спама GitHub в сочетании с контрафактным преобразователем DNS в Telegram. Вероятно, это помогает, потому что я сомневаюсь, что Telegram быстро отреагирует на запросы об удалении.
TechOffice