俄罗斯演员在多重恶意软件攻击中武器化合法服务

据Recorded Future报道，说俄语的黑客发起了一场新的网络活动，滥用合法的互联网服务，如GitHub和FileZilla，部署了多种恶意软件变体。

研究人员说，自适应战术和先进的能力在追踪和防御这类威胁方面提出了重大挑战。

该攻击者可能位于独立国家联合体(CIS)，在凭证收集活动中战略性地瞄准了一系列操作系统(OS)和计算机架构，包括Windows和macOS，突出了它们对不断发展的技术格局的适应性。

这包括部署Atomic macOS Stealer (AMOS)，其当前版本能够感染基于英特尔和arm的mac电脑。

Recorded Future的威胁情报分析师Alexander Leslie告诉Infosecurity，这次攻击是威胁行为者滥用合法服务来攻击跨多个平台和架构的凭证的最突出的例子。

他说:“(利用合法服务)是出于方便——它的适应性很强，这才是真正令人担忧的。”

引诱用户下载恶意软件

在对AMOS盗窃者的调查中，Recorded Future的inskt Group发现了12个冒充合法macOS应用程序的网站，如CleanShotX、1Password和Bartender。

这些域名都将用户重定向到名为“papinyurii33”的用户的GitHub配置文件，提示他们下载macOS安装媒体，导致AMOS infostealer感染。

恶意的papinyurii33账户创建于2024年1月16日，其最后一次被观察到的贡献是在3月7日。

所有版本的AMOS托管的帐户执行HTTP POST请求到端点/psp。但是，在AMOS的其他已知端点/sendlog和/joinsystem的文件路径中，命令和控制(C2)通信中提供的用户HTTP POST变量是与威胁参与者的AMOS订阅关联的用户名。

GitHub账户还被观察到在“2132”存储库下托管AMOS以外的其他文件，包括基于windows的Lumma和Vidar窃取程序的滴管，以及Octo Android银行木马。

另一个存储库“22”自2024年2月初以来就没有恶意软件提交给它。

用于执行恶意文件的合法服务

研究人员观察了攻击者如何执行各种DocCloud文件，在受害者设备上部署一系列信息窃取器。

“DocCloud.exe”访问FileZilla FTP服务器，IP地址为193.149.189。]199使用硬编码凭据。

建立连接后，DocCloud.exe的子进程访问和RC4解密。enc文件，并将解密的数据与存储在Python脚本中的shellcode结合起来。然后将构造的有效负载作为pythonw.exe的参数运行。

在这个过程中观察到多次处决，导致Lumma和Vidar的增骨剂被丢弃。

在一个单独的进程中，2024年3月7日由papinyurii33上传到GitHub的DocCloud.zip版本访问了IP地址为188.120.227[的FileZilla文件服务器。并使用了新的硬编码凭证。此zip归档中的多个文件显示DLL文件扩展名，但都是明文Python脚本。

inskt随后观察到，从2024年2月到3月初，执行和沟通模式发生了“明显变化”。

在这些情况下，访问FTP服务器的进程保持静态，包括在服务器上访问的文件名，以及绑定的Python脚本中存在的shellcode。

在早期的迭代中，恶意软件检索。enc文件，然后继续对先前与Lumma Stealer相关的域进行多次DNS查找。

在最近的执行中，同样的。enc文件被检索到，但是恶意软件继续检查Steam社区和Telegram帐户的用户配置文件，在那里它获得了各自的C2服务器，并继续完成对这些后续C2服务器的POST请求。

研究人员认为，这表明下一阶段感染的指令在执行期间在FTP服务器上的。enc文件中发生了变化，尽管滴管保持不变。

inskt还确定了另外四个可能与威胁行为者的网络基础设施相关的IP地址。这些地址揭示了木马DARKCOMET RAT的C2基础设施和一个额外的FileZilla FTP服务器负责部署DARKCOMET RAT。

研究人员指出，来自github托管的“DocCloud”文件的基础设施连接表明，针对受害设备的攻击活动更有组织。

论威胁行为者战术的演变

莱斯利说，这次活动是独一无二的，部分原因是部署了许多不同的恶意软件家族，而且威胁行为者依赖合法的互联网服务和共享的C2基础设施。

因此，虽然使用多种工具和恶意软件系列使活动变得非常复杂，但攻击者采用了相对简单的C2和泄漏方法。

他解释说:“它非常灵活，你可以快速启动GitHub配置文件，快速启动临时FileZilla服务器，快速找到一个一次性电报账户。”

这使得传统的防御措施很难检测到并做出足够快的反应。

莱斯利补充说:“你不是在寻找恶意软件C2或基础设施，你不是在对受害者进行网络流量分析。这个演员只是窃取文件，然后上传到FileZilla，然后收工。”

inskt的分析还强调了这次活动中使用的策略与最近其他报告之间的相似之处，表明类似的方法正变得越来越普遍。

这包括发现了一个通过所谓的合法软件传播AMOS恶意软件和Rhadamanthys的网站。然而，恶意软件并不直接托管在假冒的应用程序网站上，而是将用户重定向到各种文件共享服务，包括Dropbox和Bitbucket。

研究人员预计，类似于他们报告中强调的活动将会增加。

为机构提供的缓解建议

该报告敦促组织在将从外部存储库获得的所有代码集成到生产环境之前，对其实施企业范围的代码审查过程。

他们还应该考虑实施全面的应用程序控制策略，包括阻止第三方和未经批准的应用程序，以防止恶意软件的传播。

此外，员工必须接受这方面的培训。莱斯利指出:“你的员工永远不应该下载任何操作系统上的破解和未经验证的软件。”

莱斯利补充说，还有一个更广泛的问题是，互联网服务，如GitHub和FileZilla，如何防止这种滥用他们的平台。

他说:“如果我们要处理合法互联网服务滥用这一持续存在的问题，就会涉及到该服务自身的治理、服务条款和监控这些服务本身的问题。”

原文始发于微信公众号（HackSee）：俄罗斯演员在多重恶意软件攻击中武器化合法服务