本站 12 月 16 日消息,据 BleepingComputer 上周六报道,威胁行为者 MUT-1244 通过一项持续近一年的大规模行动,窃取了超过 39 万个 WordPress 登录凭证。这些凭证是通过一个带有木** WordPress 凭证检查器盗取的,目标是其他网络攻击者。
报道援引 Datadog Security Labs 研究人员的消息称,除了 WordPress 凭证外,SSH 私钥和 AWS 访问密钥也被盗取,受害者包括红队成员、渗透测试专家、安全研究人员及其他恶意行为者。
攻击者通过数十个木马化的 GitHub 仓库将恶意概念验证(PoC)代码传播出去,利用已知漏洞进行攻击,同时还发起了钓鱼攻击,诱使目标安装伪装成 CPU 微代码更新的假内核升级。
钓鱼邮件诱骗受害者执行了恶意命令,虚假的 GitHub 仓库则吸引了安全研究人员和攻击者,这些人希望获取针对特定漏洞的利用代码。
这些伪造的概念验证代码早前也曾被用于针对研究人员,目的是盗取他们的研究成果或通过网络渗透进入安全公司内部。
研究人员表示:“这些仓库由于命名问题,自动被一些合法的威胁情报平台如 Feedly 和 Vulnmon 收录,作为概念验证仓库使用,这使得它们看起来更可信,增加了有人使用它们的概率。”
攻击者通过多种方式将恶意软件注入 GitHub 仓库,包括后门化的配置文件、恶意 PDF 文件、Python 下马器和恶意 npm 包等。
前述机构 Datadog Security Labs 发现,这一攻击活动与 Checkmarkx 公司 11 月报告中的一起供应链攻击类似,后者使用“hpc20235 / yawp”GitHub 项目传播恶意代码,通过“0xengine / xmlrpc”npm 包窃取数据并挖掘 Monero 加密货币。
据本站了解,在这次攻击中,恶意软件不仅包含加密货币挖矿程序,还有后门,帮助 MUT-1244 窃取 SSH 密钥、AWS 凭证及其他敏感信息。第二阶段的恶意载荷将数据外泄到 Dropbox 和 file.io 等文件共享平台,攻击者通过硬编码的凭证轻松访问这些信息。
Datadog Security Labs 估计,数百个系统仍然受到感染,这一活动仍在继续。
