近日,網絡安全領域發生了一起重大事件,威脅行動者MUT-1244通過一系列精心策劃的行動,成功竊取了大量WordPress登錄憑證。據BleepingComputer報道,這一行動已持續近一年,涉及超過39萬個WordPress賬戶。
這些敏感信息并非通過常規手段獲取,而是利用了一個被木馬感染的WordPress憑證檢查器。該檢查器的目標指向了其他網絡攻擊者,包括紅隊成員、滲透測試專家和安全研究人員等。不僅如此,攻擊者還盜取了SSH私鑰和AWS訪問密鑰,進一步擴大了其攻擊范圍。
為了傳播惡意代碼,MUT-1244采取了多種策略。他們通過數十個被木馬化的GitHub倉庫,將惡意概念驗證(PoC)代碼廣泛傳播。這些代碼利用了已知的漏洞進行攻擊,同時,攻擊者還精心策劃了釣魚攻擊。他們發送釣魚郵件,誘使目標用戶執行惡意命令,并設立了虛假的GitHub倉庫,偽裝成CPU微代碼更新,吸引安全研究人員和攻擊者下載并執行。
這些偽造的PoC代碼在過去也曾被用于針對研究人員,目的是竊取他們的研究成果或滲透進入安全公司內部。值得注意的是,這些倉庫由于命名巧妙,被一些合法的威脅情報平臺如Feedly和Vulnmon自動收錄,這進一步增加了它們的可信度,也提高了被利用的概率。
在攻擊手段上,MUT-1244展現了極高的技術實力。他們通過多種方式將惡意軟件注入GitHub倉庫,包括后門化的配置文件、惡意PDF文件、Python下馬器和惡意npm包等。這些惡意軟件不僅包含加密貨幣挖礦程序,還設有后門,方便攻擊者竊取SSH密鑰、AWS憑證等敏感信息。
在竊取到這些信息后,MUT-1244并沒有止步。他們利用第二階段的惡意載荷,將數據外泄到Dropbox和file.io等文件共享平臺。通過硬編碼的憑證,攻擊者能夠輕松訪問這些信息,進一步擴大了其攻擊成果。
據Datadog Security Labs的研究人員分析,這一攻擊活動與Checkmarkx公司11月報告的一起供應鏈攻擊存在相似之處。在那起攻擊中,攻擊者利用“hpc20235 / yawp”GitHub項目傳播惡意代碼,通過“0xengine / xmlrpc”npm包竊取數據并挖掘Monero加密貨幣。而MUT-1244的攻擊手段則更加復雜和多樣化。
目前,Datadog Security Labs估計仍有數百個系統受到感染,這一攻擊活動仍在繼續。這一事件再次提醒我們,網絡安全形勢依然嚴峻,企業和個人需要時刻保持警惕,加強安全防護措施。
同時,對于GitHub等代碼托管平臺來說,也需要加強安全審查,防止惡意代碼的傳播。只有各方共同努力,才能構建一個更加安全的網絡環境。
對于安全研究人員和攻擊者來說,也需要提高警惕,避免被偽造的PoC代碼所欺騙。在下載和執行代碼時,務必進行仔細的安全審查,確保自身安全不受威脅。
