Cybersicherheitsforscher haben mehrere Konten auf GitHub und Social-Media-Plattformen gefunden, die angeblich Proof-of-Concept (PoC)-Exploits für eine Reihe von Zero-Day-Schwachstellen verbreiten, die angeblich in beliebter Software gefunden wurden. Eine genauere Untersuchung ergab jedoch, dass alle Konten gefälscht waren und dass es sich bei den PoCs lediglich um versteckte Malware handelte.
Die Nachricht wurde von Cybersicherheitsforschern verbreitet VulnCheckDarin heißt es, dass ungenannte Bedrohungsakteure sowohl auf GitHub als auch auf Twitter ein Netzwerk von Konten erstellt haben, die gefälschten Cybersicherheitsforschern gehören. Diese Konten verwendeten Profilbilder von echten Sicherheitsexperten, was VulnCheck zu der Annahme veranlasste, dass derjenige, der hinter dem Angriff steckte, große Anstrengungen unternahm, um eine gewisse Glaubwürdigkeit herzustellen.
Auf diesen Konten teilten die gefälschten Experten Proof-of-Concept-Exploits für angebliche Zero-Day-Schwachstellen, die in beliebter Software wie Signal, Discord, Google Chrome oder Microsoft Exchange Server gefunden wurden.
„Die Personen, die diese Repositories erstellen, haben erhebliche Anstrengungen unternommen, um sie legitim erscheinen zu lassen, indem sie ein Netzwerk aus Konten und Twitter-Profilen erstellt haben und dabei vorgeben, Teil eines nicht existierenden Unternehmens namens High Sierra Cyber Security zu sein“, bemerkte VulnCheck.
Die Kriminellen würden das Konto verwenden, um ein Python-Skript zu verbreiten, das eine schädliche Binärdatei herunterlädt und auf dem Zielendpunkt ausführt. Die Schadsoftware funktionierte sowohl unter Windows als auch unter Linux, hieß es.
Zum Zeitpunkt der Drucklegung wurden alle bösartigen GitHub-Repositories entfernt, aber hier ist eine Liste für alle Fälle:
- github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
- github.com/BAdithyaHSCS/Exchange-0-Day
- github.com/DLandonHSCS/Discord-RCE
- github.com/GSandersonHSCS/discord-0-day-fix
- github.com/MHadzicHSCS/Chrome-0-day
- github.com/RShahHSCS/Discord-0-Day-Exploit
- github.com/SsankkarHSCS/Chromium-0-Day
Diese Twitter-Konten müssen hingegen noch entfernt werden:
- twitter.com/AKuzmanHSCS
- twitter.com/DLandonHSCS
- twitter.com/GSandersonHSCS
- twitter.com/MHadzicHSCS
Angesichts des Aufwands, der in die Kampagne gesteckt wurde, ergebe das Endergebnis wenig Sinn, weisen die Forscher darauf hin, da die verbreitete Malware „sehr offensichtlich“ sei, sagten sie. „Es ist unklar, ob sie erfolgreich waren, aber angesichts der Tatsache, dass sie diese Art von Angriffen weiterhin verfolgen, scheinen sie zu glauben, dass sie erfolgreich sein werden.“
Analyse: Warum ist das wichtig?
Dabei handelt es sich um einen sehr aufwändigen Supply-Chain-Angriff, dessen Folgen schmerzhaft hätten sein können. GitHub ist wohl das weltweit größte Repository für Open-Source-Code, und die dort gefundenen Produkte sind Softwarebausteine, die von unzähligen Organisationen bei der Entwicklung ihrer Lösungen und Tools verwendet werden. Wenn es einem Bedrohungsakteur gelingt, ein vorhandenes Repository zu kompromittieren oder bösartigen Code einzuschleusen, kann dieser auf zahlreiche Software durchsickern und theoretisch Tausende von Endpunkten gefährden. Abhängig von der Art der auf diese Weise verbreiteten Malware könnten Bedrohungsakteure an sensible Daten gelangen, Identitätsdiebstahl und Ransomware-Angriffe sowie Überweisungsbetrug verüben.
Die Popularität von GitHub machte es zu einem der größten Ziele für Supply-Chain-Angriffe. Häufig begehen Bedrohungsakteure „Typosquatting“, eine Form des Cyberangriffs, bei der sie ein bösartiges Paket erstellen, dessen Name fast mit dem eines vorhandenen Pakets identisch ist. Auf diese Weise könnte ein überarbeiteter oder abgelenkter Entwickler das falsche System verwenden und seine Systeme sowie die seiner Kunden/Auftraggeber gefährden.
Angriffe auf die Lieferkette sind häufig und sehr zerstörerisch. Eines der besten Beispiele für das enorme Potenzial von Supply-Chain-Angriffen ist der SolarWinds-Angriff, der Ende 2020 stattfand. Damals war ein Update eines SolarWinds-Produkts mit Malware infiziert, die dann an einige seiner Benutzer weitergegeben wurde darunter namhafte Unternehmen und staatliche Institutionen.
Nach einer späteren Analyse wurde festgestellt, dass der Hackerangriff auf staatlich geförderte russische Hacker gerichtet war und neun Bundesbehörden sowie viele Unternehmen des privaten Sektors betroffen hatte gezeigt.
Was haben andere dazu gesagt?
In seinem Aufsatz Piepender Computer sagt, dass noch nicht bekannt ist, was die verbreitete Malware tatsächlich bewirkt. In der Veröffentlichung wird betont, wie wichtig es ist, beim Herunterladen von Skripten vorsichtig zu sein, insbesondere aus unbekannten Repositories, da „ein Identitätswechsel immer möglich ist“. Darüber hinaus erinnert BleepingComputer seine Leser an mehrere aufsehenerregende Angriffe auf die Lieferkette, die in der Vergangenheit stattgefunden haben, wie beispielsweise die Kampagne des nordkoreanischen staatlich geförderten Bedrohungsakteurs Lazarus im Januar 2021.
Damals erstellte die Gruppe gefälschte Schwachstellenforscher-Personas in den sozialen Medien, um Forscher mit Malware anzugreifen. Später im selben Jahr versuchten sie auch, auf diese Weise eine trojanisierte Version der Reverse-Engineering-Software IDA Pro zu verbreiten.
CSO Online, nannte es hingegen eine „ungewöhnliche“ Angriffskampagne, die sich hauptsächlich gegen Sicherheitsforscher richtete. Es heißt auch, dass es sich höchstwahrscheinlich um die Arbeit eines APT-Akteurs (Advanced Persistent Threat) handelt, der auf der Suche nach sensiblen Informationen ist, die normalerweise auf Endpunkten von Cybersicherheitsforschern zu finden sind. Außerdem wird hinzugefügt, dass erfahrene Sicherheitsforscher „im Allgemeinen Vorsichtsmaßnahmen treffen, wenn sie mit potenziell bösartigem Code arbeiten“, was darauf hindeutet, dass es möglicherweise nicht die beste Idee ist, Forscher durch das Anbieten gefälschter PoCs ins Visier zu nehmen. „Wenn sie einen Proof-of-Concept-Exploit testen, geschieht dies höchstwahrscheinlich auf einem Testsystem in einer virtuellen Maschine, die gut überwacht und später gelöscht wird“, schlussfolgerten sie.
Über: Die Hacker-News