今天小編分享的科技經驗:黑客發起持續近一年大規模行動,竊取超39萬個WordPress登錄憑證,歡迎閱讀。
IT 之家 12 月 16 日消息,據 BleepingComputer 上周六報道,威脅行為者 MUT-1244 通過一項持續近一年的大規模行動,竊取了超過 39 萬個 WordPress 登錄憑證。這些憑證是通過一個帶有木馬的 WordPress 憑證檢查器盜取的,目标是其他網絡攻擊者。
報道援引 Datadog Security Labs 研究人員的消息稱,除了 WordPress 憑證外,SSH 私鑰和 AWS 訪問密鑰也被盜取,受害者包括紅隊成員、滲透測試專家、安全研究人員及其他惡意行為者。
攻擊者通過數十個木馬化的 GitHub 倉庫将惡意概念驗證(PoC)代碼傳播出去,利用已知漏洞進行攻擊,同時還發起了釣魚攻擊,誘使目标安裝偽裝成 CPU 微代碼更新的假内核更新。
釣魚郵件誘騙受害者執行了惡意命令,虛假的 GitHub 倉庫則吸引了安全研究人員和攻擊者,這些人希望獲取針對特定漏洞的利用代碼。
這些偽造的概念驗證代碼早前也曾被用于針對研究人員,目的是盜取他們的研究成果或通過網絡滲透進入安全公司内部。
研究人員表示:" 這些倉庫由于命名問題,自動被一些合法的威脅情報平台如 Feedly 和 Vulnmon 收錄,作為概念驗證倉庫使用,這使得它們看起來更可信,增加了有人使用它們的概率。"
攻擊者通過多種方式将惡意軟體注入 GitHub 倉庫,包括後門化的配置檔案、惡意 PDF 檔案、Python 下馬器和惡意 npm 包等。
前述機構 Datadog Security Labs 發現,這一攻擊活動與 Checkmarkx 公司 11 月報告中的一起供應鏈攻擊類似,後者使用 "hpc20235 / yawp"GitHub 項目傳播惡意代碼,通過 "0xengine / xmlrpc"npm 包竊取數據并挖掘 Monero 加密貨币。
據 IT 之家了解,在這次攻擊中,惡意軟體不僅包含加密貨币挖礦程式,還有後門,幫助 MUT-1244 竊取 SSH 密鑰、AWS 憑證及其他敏感信息。第二階段的惡意載荷将數據外洩到 Dropbox 和 file.io 等檔案共享平台,攻擊者通過硬編碼的憑證輕松訪問這些信息。
Datadog Security Labs 估計,數百個系統仍然受到感染,這一活動仍在繼續。
