サイバー犯罪者がGitHubとFileZillaを悪用して、Atomic(別名AMOS)、Vidar、Lumma(別名LummaC2)、Octoなどのスティーラーマルウェアとバンキングトロイの木馬を配信する「多面的キャンペーン」が観察された。これらのマルウェアは、1Password、Bartender 5、Pixelmator Proなどの信頼できるソフトウェアになりすまして配布される。Recorded FutureのInsikt Groupによると、このキャンペーンは、正規のインターネットサービスの悪用と、Android、macOS、Windowsを対象とした複数のマルウェアバリアントの使用を通じて、攻撃の成功率を高めることを目指している。
攻撃チェーンには、GitHub上の偽プロファイルとリポジトリを使用し、よく知られたソフトウェアの偽バージョンをホスティングして、侵害されたデバイスから機密データを盗むことが含まれる。これらの悪意のあるファイルへのリンクは、通常、マルバタイジングやSEOポイズニングキャンペーンを通じて配布される複数のドメイン内に埋め込まれる。運用の背後にいる敵は、独立国家共同体(CIS)からのロシア語を話す脅威アクターであると疑われており、マルウェアの管理と配信のためにFileZillaサーバーも使用していることが観察された。
GitHub上のディスクイメージファイルと関連インフラストラクチャのさらなる分析により、2023年8月以降にRedLine、Lumma、Raccoon、Vidar、Rhadamanthys、DanaBot、DarkComet RATを配信するために設計されたより大規模なキャンペーンに攻撃が関連していることが判明した。Rhadamanthysの感染経路は、偽のアプリケーションウェブサイトに着陸した被害者がBitbucketとDropboxにホストされたペイロードにリダイレクトされることで、正規サービスのさらなる悪用を示唆している。
Microsoft Threat Intelligenceチームは、macOSのバックドアであるActivatorが「非常に活発な脅威」であり、正規のソフトウェアのクラック版を装ったディスクイメージファイルを介して配布され、ExodusおよびBitcoin-Qtウォレットアプリケーションからデータを盗むと述べている。このマルウェアは、ユーザーに管理者権限で実行するよう促し、macOSのGatekeeperをオフにし、通知センターを無効にする。その後、複数のコマンドアンドコントロール(C2)ドメインから悪意のあるPythonスクリプトをダウンロードして実行し、これらの悪意のあるスクリプトをLaunchAgentsフォルダに追加して永続性を確保する。
【ニュース解説】
サイバー犯罪者がGitHubやFileZillaなどの正規のインターネットサービスを悪用し、スティーラーマルウェアやバンキングトロイの木馬を配信する複雑なキャンペーンが観察されました。このキャンペーンでは、1Password、Bartender 5、Pixelmator Proなどの信頼できるソフトウェアになりすまし、機密データを盗むことを目的としています。攻撃者は、GitHub上で偽のプロファイルやリポジトリを作成し、偽のソフトウェアバージョンをホスティングすることで、被害者のデバイスから情報を盗み出します。これらの悪意のあるファイルへのリンクは、マルバタイジングやSEOポイズニングキャンペーンを通じて配布されます。
このキャンペーンは、Android、macOS、Windowsを対象とした複数のマルウェアバリアントを使用しており、攻撃の成功率を高めることを目指しています。さらに、このキャンペーンは、独立国家共同体(CIS)からのロシア語を話す脅威アクターによって運営されていると疑われており、マルウェアの管理と配信にFileZillaサーバーが使用されていることが明らかになりました。
このキャンペーンの背後にある技術的な側面を理解することは、サイバーセキュリティの専門家だけでなく、一般のインターネットユーザーにとっても重要です。正規のサービスが悪用されることで、ユーザーは信頼できると思われるソースからも脅威にさらされる可能性があります。このような攻撃を防ぐためには、ソフトウェアをダウンロードする際には常に公式のウェブサイトを利用し、不審なリンクやメールには注意を払う必要があります。
また、このキャンペーンは、サイバー犯罪者がどのようにして複数のプラットフォームを標的にし、攻撃を効率的に実行するための中央集権的なコマンドセットアップを利用しているかを示しています。このような攻撃の多様性と複雑さは、サイバーセキュリティ対策の重要性を強調しており、個人ユーザーから企業まで、幅広い対象がリスクにさらされています。
このキャンペーンによって提起される懸念事項は多岐にわたりますが、特に重要なのは、正規のインターネットサービスがどのようにして悪意ある目的で悪用され得るかという点です。この事実は、サービス提供者に対して、セキュリティ対策を強化し、不正利用を防ぐための取り組みを継続的に行うことの重要性を示しています。同時に、ユーザーに対しては、インターネット上での行動に常に注意を払い、セキュリティ意識を高めることが求められます。
from Cyber Criminals Exploit GitHub and FileZilla to Deliver Cocktail Malware.
