約300件のGitHubリポジトリがマルウェア拡散のため正規ソフトウェアを偽装

ある脅威アクターが、正規のソフトウェアやセキュリティ関連プロジェクトを装った偽のGitHubリポジトリを数百件も公開し、情報窃取型マルウェアを配布していたことが分かりました。

このキャンペーンは、セキュリティ製品、暗号資産サービス、金融ツール、開発者向けユーティリティ、セキュアなメールサービス、macOSユーティリティ、ゲームソフトウェアなどの検索結果からアクセスを集めていました。

このマルウェアは19種類以上のWebブラウザからデータを収集するほか、32種類の暗号資産ウォレットから情報を盗み出し、メッセージングアプリやSNSアプリからも機密情報を抜き取ります。

サイバーセキュリティ企業のArcticWolfは、自社製品が6月26日からこのキャンペーンで偽装されていることを発見し、この活動を特定しました。

調査の結果、研究者らは合計292件の偽リポジトリを発見しました。いずれのリポジトリにも、悪意あるダウンロードページへ訪問者を誘導するダウンロードリンク付きのREADMEファイルが含まれていました。

Image

ランディングページには、信頼感を演出するための文言やブランディングが施されており、「Download Secure Content」という名称のボタンや、偽装された信頼バッジなどが含まれています。

研究者らが配布ページのコードを分析したところ、「すべての偽装ブランドで使い回されている単一のテンプレート化されたHTML/JSアーティファクト」に依存していることが判明しました。

「このクライアントサイドスクリプトは、URLパスを2つのセグメントに分解して解析します。path[0]はuser_code(yyvxx9rswefrのような、参照元リポジトリ/リダイレクターを追跡する“ローテーション”パストークン)、path[1]は参照元ドメイン(例: Arctic-Wolf[.]github.io)です」とArctic Wolfは述べています

表示されるブランディングは、レンダリング時に第2セグメントのハイフンをスペースに置き換え、適切なタイトルケースを適用することで導出されます。

The malicious landing page

研究者らによると、このページは大きなZIPアーカイブを配布しており、そのファイル名とペイロードはおよそ1分ごとに変更されます。アーカイブの中には、トロイの木馬化されたlibcurl.dllと、偽装対象の製品に応じて異なる名前が付けられた正規の署名済みWinGUPアップデーターが含まれています。

「ユーザーが実行ファイルを実行すると、gup.exelibcurl.dllをサイドロードします。これがメモリ上のみで埋め込まれた情報窃取マルウェアをデコードし、リフレクティブに実行します。」

この情報窃取マルウェアはBoryptGrabファミリーの亜種とみられ、感染システムから以下のデータを標的にします。

  • 19種類のWebブラウザからのパスワード、Cookie、支払い情報などのデータ
  • 32種類の暗号資産ウォレットブランドのデータ
  • Telegramセッション、Discordトークン、Steamセッショントークン
  • MetaのMaxメッセージングアプリケーションの認証情報
  • Windows資格情報マネージャーの内容
  • デスクトップおよびドキュメントフォルダ内の、パスワード・復元フレーズ・ウォレット・バックアップ等を示唆するファイル名や拡張子を持つファイル
  • スクリーンショット、システム詳細情報、インストール済みソフトウェアの一覧

研究者らは、このBoryptGrabの亜種が、ブラウザプロセスへの直接的なコードインジェクションによってChromeのApp-Bound Encryptionを回避する、これまで報告されていなかった機能を備えていると指摘しています。

盗み出されたデータは圧縮された後、ロシアを拠点とするコマンド&コントロール(C2)サーバーへ送信されます。

The stealer's execution and data-theft flow

Arctic Wolfによると、このマルウェアはホスト上に永続化の仕組みを確立せず、1回の実行でできる限り多くのデータを収集するよう設計されているとのことです。

同様に、解析対策の仕組みも一切備えておらず、また窃取データの持ち出し準備段階で使用される一時ディレクトリも消去されないため、フォレンジック調査の痕跡が残る状態になっています。

Arctic Wolfのレポート公開時点で、GitHubは悪意あるリポジトリの大部分を削除済みでしたが、研究者らによると数十件のGitHub Pagesリダイレクターは依然として稼働中とのことです。

研究者らは、このキャンペーンを特定の脅威アクターに帰属させることはできなかったものの、運営者はロシア語話者で金銭目的である可能性が高いと評価しています。

Arctic Wolfは、このキャンペーンの成否はひとえに、プレミアムなソフトウェアツールの「無料ダウンロード」をユーザーが信用するかどうかにかかっていると結論づけ、非公式なGitHubページを扱う際には注意するよう推奨しています。

研究者らは、この活動を検知するためのYaraルールと、BoryptGrabに関連する侵害指標(IoC)を公開しています。

攻撃者の前に、すべてのレイヤーをテストせよ

セキュリティチームが記録できている攻撃成功件数は54%にとどまり、アラートが上がるのはわずか14%です。残りは環境内を検知されずに通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMとEDRのルールをテストし、脅威の検知漏れを防ぐ方法を解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/nearly-300-github-repos-pose-as-legit-software-to-push-malware/

ソース: bleepingcomputer.com