Un acteur de la menace suivi sous le nom de MUT-1244 a volé plus de 390 000 identifiants WordPress dans le cadre d’une campagne à grande échelle d’un an ciblant d’autres acteurs de la menace à l’aide d’un vérificateur d’identifiants WordPress cheval de Troie.
Les chercheurs des laboratoires de sécurité Datadog, qui ont repéré les attaques, affirment que des clés privées SSH et des clés d’accès AWS ont également été volées sur les systèmes compromis de centaines d’autres victimes, qui incluraient des red teamers, des testeurs d’intrusion, des chercheurs en sécurité ainsi que des acteurs malveillants.
Les victimes ont été infectées en utilisant la même charge utile de deuxième étape poussée via des dizaines de référentiels GitHub trojanisés fournissant des exploits malveillants de preuve de concept (PoC) qui ciblaient des failles de sécurité connues, ainsi qu’une campagne de phishing incitant les cibles à installer une fausse mise à niveau du noyau camouflée en une mise à jour du microcode du processeur.
Alors que les courriels de phishing incitaient les victimes à exécuter des commandes qui installaient le logiciel malveillant, les faux référentiels dupaient les professionnels de la sécurité et les auteurs de menaces à la recherche de code d’exploitation pour des vulnérabilités spécifiques.
Les acteurs de la menace ont utilisé de faux exploits de validation de principe dans le passé pour cibler les chercheurs, dans l’espoir de voler des recherches précieuses ou d’accéder aux réseaux des entreprises de cybersécurité.
« En raison de leur dénomination, plusieurs de ces référentiels sont automatiquement inclus dans des sources légitimes, telles que Feedly Threat Intelligence ou Vulnmon, en tant que référentiels de validation de principe pour ces vulnérabilités », ont déclaré les chercheurs. »Cela augmente leur apparence de légitimité et la probabilité que quelqu’un les dirige. »
Les charges utiles ont été supprimées via des dépôts GitHub à l’aide de plusieurs méthodes, y compris des fichiers de compilation de configuration backdoor, des fichiers PDF malveillants, des droppers Python et des packages npm malveillants inclus dans les dépendances des projets.
Comme l’ont découvert les laboratoires de sécurité Datadog, cette campagne chevauche celle mise en évidence dans un rapport Checkmarkx de novembre sur une attaque de la chaîne d’approvisionnement d’un an dans laquelle le projet GitHub « hpc20235/yawp » a été cheval de Troie à l’aide d’un code malveillant dans le package npm « 0xengine/xmlrpc » pour voler des données et extraire la crypto-monnaie Monero.
Les logiciels malveillants déployés dans ces attaques incluent un mineur de crypto-monnaie et une porte dérobée qui ont aidé MUT – 1244 à collecter et à exfiltrer des clés SSH privées, des informations d’identification AWS, des variables d’environnement et des contenus de répertoire de clés tels que »~/.aws. »
La charge utile de la deuxième étape, hébergée sur une plate-forme distincte, a permis aux attaquants d’exfiltrer des données vers des services de partage de fichiers tels que Dropbox et file.io, les enquêteurs trouvant des informations d’identification codées en dur pour ces plates-formes dans la charge utile, donnant aux attaquants un accès facile aux informations volées.
« MUT-1244 a pu accéder à plus de 390 000 informations d’identification, considérées comme WordPress. Nous estimons avec une grande confiance qu’avant que ces informations d’identification ne soient exfiltrées vers Dropbox, elles étaient entre les mains d’acteurs offensifs, qui les ont probablement acquises par des moyens illicites », ont déclaré les chercheurs de Datadog Security Labs.
« Ces acteurs ont ensuite été compromis grâce à l’outil yawpp qu’ils utilisaient pour vérifier la validité de ces informations d’identification. Étant donné que MUT-1244 a annoncé yawpp comme un » vérificateur d’informations d’identification » pour WordPress, il n’est pas surprenant qu’un attaquant avec un ensemble d’informations d’identification volées (qui sont souvent achetées sur des marchés clandestins afin d’accélérer les opérations des acteurs de la menace) utiliserait yawpp pour les valider. »
Les attaquants ont réussi à exploiter la confiance au sein de la communauté de la cybersécurité pour compromettre des dizaines de machines appartenant à des pirates informatiques white hat et black hat après que les cibles aient exécuté sans le savoir le logiciel malveillant de l’auteur de la menace, entraînant un vol de données comprenant des clés SSH, des jetons d’accès AWS et des historiques de commandes.
Les laboratoires de sécurité de Datadog estiment que des centaines de systèmes restent compromis et que d’autres sont toujours infectés dans le cadre de cette campagne en cours.