据BleepingComputer消息,一个被标记为 MUT-1244 的攻击者利用植入木马的 WordPress 凭证检查器进行了一次规模庞大、长达一年的攻击活动,盗取了超过 39 万个 WordPress 凭证。
Datadog Security Labs 的研究人员发现了这些攻击,并表示被感染系统中有数百名受害者的 SSH 私钥和 AWS 访问密钥也被盗取,这些受害者很可能包括红队成员、渗透测试员、安全研究人员甚至其他一些黑客。
被感染者通过相同的第二阶段恶意载荷进行感染,该恶意载荷通过数十个植入了木马的 GitHub 代码库传播,这些代码库提供了针对已知安全漏洞的恶意的概念验证(PoC)漏洞利用代码以及一项钓鱼活动,引导目标安装伪装成 CPU 微码升级的虚假内核升级。
虽然钓鱼电子邮件诱使受害者执行命令安装恶意软件,但虚假代码库则欺骗了寻求特定漏洞利用代码的安全专业人员和其他一些黑客。在此之前,攻击者曾利用虚假的概念验证漏洞来攻击研究人员,希望窃取有价值的研究成果或者获得对网络安全公司网络的访问权限。
研究人员表示,由于它们的命名方式,其中几个代码库会自动包含在 Feedly Threat Intelligence 或Vulnmon 等合法来源中,作为这些漏洞的概念验证代码库,这增加了它们的合法性和被运行的可能性。
这些恶意载荷通过 GitHub 代码库使用多种方法进行传播,包括带有后门的配置编译文件、恶意 PDF 文件、 Python 样本传播程序以及包含在项目依赖项中的恶意 npm 包。
正如 Datadog Security Labs 发现的那样,这次攻击与Checkmarkx 在 11 月发布的一份报告中提到的一次为期一年的供应链攻击有重叠之处,这次攻击通过在"hpc20235/yawp" GitHub 项目中使用"0xengine/xmlrpc" npm 包中的恶意代码来窃取数据和挖掘 Monero 加密货币。
攻击中部署的恶意软件包括一个加密货币挖矿程序和一个后门,帮助 MUT-1244 收集和窃取私有 SSH 密钥、 AWS 凭证、环境变量以及密钥目录内容,比如"~/.aws"。
第二阶段的恶意载荷托管在一个独立的平台上,使攻击者能够将数据导出到像 Dropbox 和file.io 这样的文件共享服务中,调查人员在恶意载荷中找到了这些平台的硬编码凭证,使攻击者能够轻松访问被窃取的信息。
攻击流程
Datadog Security Labs 的研究人员表示,MUT-1244 成功获取了超过 39 万个WordPress凭证,并高度确信这些凭证在被导出到 Dropbox 之前就已经落入了攻击者手中。
攻击者成功利用了网络安全界的互信关系,通过目标在无意中执行攻击者的恶意软件而侵入了数十台白帽和黑帽黑客的机器,导致包括 SSH 密钥、 AWS 访问令牌和命令历史在内的数据被窃取。
Datadog Security Labs 估计,数百台系统仍然会受到攻击,而其他系统仍在遭受这次持续攻击带来的感染。
