Threat Actors Abuse GitHub to Distribute Multiple Information Stealers
2024/05/15 SecurityWeek — 5月13日 (火) に脅威インテリジェンス企業 Recorded Future は、正規の GitHub プロフィールを悪用して情報窃取マルウェアを配布する、悪質なキャンペーンに対して警鐘を鳴らした。このキャンペーンの一環として、Commonwealth of Independent States (CIS) で活動するロシア語圏の脅威アクターたちが、1Password/Bartender 5/Pixelmator Proなどの正規アプリケーションを装いながら、Atomic macOS Stealer (AMOS)/Vidar/Lumma/Octo などのマルウェアを配布している。
これらのマルウェアは、共通の Command and Control (C2) インフラを共有していることから、クロスプラットフォーム攻撃においてセンタライズされたセットアップが使用され、効率化が図られていた可能性が高いと、Recorded Future の最新レポート (PDF) は指摘している。
2024年初頭の報告によると、AMOS の配布経路は、Slack のインストール・ファイルなどの、正規の macOS アプリになりすました偽 Web サイトや、詐欺的な Web3 ゲーム・プロジェクトだと推測されている。
これらの報告を出発点として Recorded Future は、正規の macOS ソフトウェアを宣伝しながら、AMOS を配布する GitHub プロファイルへと、被害者をリダイレクトする 12件の Web サイトを特定した。さらに、このプロファイルでは、Octo Android バンキング・トロイの木馬や、各種の Windows インフォ・スティーラーの配布も行われていたことが確認されている。
この GitHub プロファイルは “papinyurii33” というユーザーが管理するものであり、2024年1月16日に作成され、2つのリポジトリのみが作成されていた。Recorded Future の研究者たちによると、2月と3月の上旬に、これらのリポジトリ内のファイルに複数の変更が加えられたようだが、3月7日以降においては、新たな動きはなかったという。
この調査では、マルウェアの管理と、Lumma/Vidar 情報窃取ソフトの配布において、FileZilla ファイル転送プロトコルの FTP サーバが使用されていることも明らかになった。
さらに Recorded Future は、DarkComet RAT の C2 インフラに関連する4つの IP アドレスと、その配布に使用された FileZilla FTP サーバなどの、複数の IP アドレスを発見したと述べている。2023年8月〜2024年2月においては Raccoon Stealer も、これらの FTP サーバを介して配布されていた。
Cyfirma/CERT-UA/Cyble/Malwarebytes などの報告書と照合した結果として、Recorded Future は、これらの調査結果が示すのは、大規模なキャンペーンの一環として、同一の脅威アクターにより組織化された攻撃だと結論づけた。
Recorded Future からユーザー組織への助言は、自動コード・スキャンツールを使用して、外部リポジトリから取得した全てのコード評価を実行し、潜在的なマルウェアや疑わしいパターンを特定することである。
GitHub で、悪質なキャンペーンが暴れまわっているようです。ご利用の開発者の方々は、十分にご注意ください。なお、前回の GitHub のトピックは、2024/04/22 の「GitLab にも GitHub スタイルの コメント悪用の問題:マルウェアのホスティングが容易になる」でした。よろしければ、GitHub で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.