過去6ヶ月間にオープンソースソフトウェアエコシステムを複数回襲撃した悪名高い TeamPCPハッキンググループが、Shai-Huludワームのソースコードをリリースし、模倣攻撃の扉を開いています。
このコードはいくつかのユーザーの下でGitHubリポジトリを通じて共有され、その使用方法に関する詳細な指示が付随していました。GitHubはこれらのリポジトリを削除しましたが、複数のフォークも出現したとDatadogは述べています。
また、リポジトリには、ハッキンググループ自身からの「Shai–Hulud:Open Sourcing The Carnage(大量破壊のオープンソース化)」というメッセージが含まれており、このリリースの目的、つまりより多くのサプライチェーン攻撃を助長することが述べられていました。
実際、セキュリティ研究者は、TeamPCPとBreachForumsからの別の発表に出くわしました。これはサイバー犯罪者に金銭的報酬と引き換えに「サプライチェーン挑戦」に参加するよう促していました。
悪党たちは、攻撃でShai-Huludワームを使用し、侵入の証拠を提供し、チャレンジに勝つために可能な限り多くのダウンストリーム影響を引き起こすよう指示されていました。
「これら2つのイベントを合わせて、Shai Huludの革新の時期がもたらされ、マルウェアのいくつかの亜種が生成される可能性があります」と、Black Duck主任サイバーセキュリティエンジニアのBen Ronalloは述べました。
「TeamPCPは、これを使用したい誰にでもリリースすることで、彼らの活動を最大限に加速させています」とRonalloは述べました。
Ox Securityによれば、脅威アクターはすでにソースコードを修正し、新しい攻撃で使用を開始しています。リポジトリにマルウェアを展開する方法に関する完全な詳細が含まれていたため、迅速なエスカレーションが可能になりました。
Datadogのソースコード分析により、ローダー、シークレット収集モジュール、情報収集機能、ディスパッチャー、データ流出機能、および変異機能を含むモジュール式フレームワークが明らかになりました。
また、以前のShai-Hulud攻撃で見られたアーティファクト、つまり多数の開発者およびクラウド認証情報、APIキー、トークン、およびその他の種類のシークレットをターゲットとすること、ステージングされたデータの暗号化、およびGitHubリポジトリと事前定義されたコマンド&コントロール(C&C)サーバーへのデータ流出も明らかになりました。
ソースコードはまた、研究者がマルウェアの永続化メカニズムとデッドマンスイッチ、およびそのGitHubリポジトリとNPMパッケージポイズニングメカニズムをより詳しく調べることを可能にしました。
さらに、ソースコードは、設計上、各ビルドに対して生成される新しいランダムパスフレーズが文字列エンコーディングをシード化するために使用されるため、オープンソースレポートからのコンパイルされたアーティファクトハッシュを再現できないことを明らかにしました。
同一のソースからの2つのビルドは異なるバイナリを生成します。これは効果的なアンチシグネチャ対策です:ディフェンダーは、1つのコンパイルされたサンプルからYARAルールを生成し、それが次の展開と一致することを期待することはできません」とDatadogは警告しています。
ワームのソースコードをリリースすることで、TeamPCPは脅威アクターが洗練されたサプライチェーン攻撃を実行するための障壁を低下させました。同時に、独自の行動が潜在的な模倣者のキャンペーンの背後に隠れることができることを保証しました。
「組織は、オープンソース化とBreachForumsコンテストの両方から生じるサプライチェーン侵害活動の継続的かつ大幅な増加に備え始めるべきです」とRonalloは警告しました。
Pathlock上級製品マネージャーのJonathan Strossが指摘したように、組織はShai-Huludが燃料を供給するサプライチェーン攻撃が継続して変異することを想定すべきです。
「チームは、影響を受けた開発者およびCIシステムを分離して再構築し、公開された認証情報をローテーションし、OIDC信頼済みパブリッシングを厳密にスコープされたワークフローと保護されたブランチに制限し、GitHubアクションをピンしてレビューし、パッケージのインストール動作を監視し、ビルドパイプラインを本番環境レベルの攻撃サーフェスとして扱うべきです」とStrossは述べました。
翻訳元: https://www.securityweek.com/teampcp-ups-the-game-releases-shai-hulud-worms-source-code/
