黑客發(fā)起持續(xù)近一年大規(guī)模行動，竊取超 39 萬個 WordPress 登錄憑證

IT之家 12 月 16 日消息，據(jù) BleepingComputer 上周六報道，威脅行為者 MUT-1244 通過一項持續(xù)近一年的大規(guī)模行動，竊取了超過 39 萬個 WordPress 登錄憑證。這些憑證是通過一個帶有木馬的 WordPress 憑證檢查器盜取的，目標是其他網(wǎng)絡(luò)攻擊者。

報道援引 Datadog Security Labs 研究人員的消息稱，除了 WordPress 憑證外，SSH 私鑰和 AWS 訪問密鑰也被盜取，受害者包括紅隊成員、滲透測試專家、安全研究人員及其他惡意行為者。

攻擊者通過數(shù)十個木馬化的 GitHub 倉庫將惡意概念驗證（PoC）代碼傳播出去，利用已知漏洞進行攻擊，同時還發(fā)起了釣魚攻擊，誘使目標安裝偽裝成 CPU 微代碼更新的假內(nèi)核升級。

釣魚郵件誘騙受害者執(zhí)行了惡意命令，虛假的 GitHub 倉庫則吸引了安全研究人員和攻擊者，這些人希望獲取針對特定漏洞的利用代碼。

這些偽造的概念驗證代碼早前也曾被用于針對研究人員，目的是盜取他們的研究成果或通過網(wǎng)絡(luò)滲透進入安全公司內(nèi)部。

研究人員表示：“這些倉庫由于命名問題，自動被一些合法的威脅情報平臺如 Feedly 和 Vulnmon 收錄，作為概念驗證倉庫使用，這使得它們看起來更可信，增加了有人使用它們的概率?！?/p>

攻擊者通過多種方式將惡意軟件注入 GitHub 倉庫，包括后門化的配置文件、惡意 PDF 文件、Python 下馬器和惡意 npm 包等。

前述機構(gòu) Datadog Security Labs 發(fā)現(xiàn)，這一攻擊活動與 Checkmarkx 公司 11 月報告中的一起供應(yīng)鏈攻擊類似，后者使用“hpc20235 / yawp”GitHub 項目傳播惡意代碼，通過“0xengine / xmlrpc”npm 包竊取數(shù)據(jù)并挖掘 Monero 加密貨幣。

據(jù)IT之家了解，在這次攻擊中，惡意軟件不僅包含加密貨幣挖礦程序，還有后門，幫助 MUT-1244 竊取 SSH 密鑰、AWS 憑證及其他敏感信息。第二階段的惡意載荷將數(shù)據(jù)外泄到 Dropbox 和 file.io 等文件共享平臺，攻擊者通過硬編碼的憑證輕松訪問這些信息。

Datadog Security Labs 估計，數(shù)百個系統(tǒng)仍然受到感染，這一活動仍在繼續(xù)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。