出典: Inge Claessens via Alamy Stock Photo
ニュース概要
経験の浅い初心者の脅威アクターを対象とした作戦が、バックドア付きのGitHubリポジトリを通じてターゲットにアクセスしました。
この攻撃は最近、顧客がSophos X-Opsに「Sakura RAT」として知られるオープンソースマルウェアプロジェクトに対する保護を提供しているかどうかを問い合わせた後に発見されました。
プロジェクトを調査した結果、研究者は2つのことに気付きました。まず、顧客はリモートアクセス型トロイの木馬(RAT)のターゲットではない可能性が高いこと、そしてRATには悪意のあるコードが含まれており、実際にはバックドアであることです。
「私たちは、Sakura RATの『開発者』と、マルウェアや攻撃ツールを装うものやゲームのチートを含む、100以上のバックドア付きリポジトリとの関連を見つけました」と研究者は報告書で書いています。「バックドアを分析した結果、難読化、複雑な感染チェーン、識別子、複数のバックドアバリアントの迷宮に迷い込みました。」
研究者は、Sakura RATの責任者が少なくとも2022年以降、主にゲームのチーターや経験の浅い脅威アクターを対象に、大規模にバックドア付きリポジトリを作成していることを発見しました。
さらに、彼らはこのバックドア作戦と「Stargazer Goblin」として知られる以前に報告されたディストリビューション・アズ・ア・サービス作戦との関連があるかもしれないと指摘しています。実際、このキャンペーンは、2022年8月から今年4月までのリポジトリに関与する15以上の他のキャンペーンと類似点や関連性がありました。
Sophosは、この脅威アクターをGitHubリポジトリに関連付けられたメールアドレスに基づいて「ischhfd83」として追跡しています。報告書によると、この脅威アクターは「Unknown」や「Muck」などのさまざまな別名を使用しており、「arturshi[.]ru」や「octofin[.]co」などのドメインや「Ali888Z」として知られるPastebinユーザーと関連している可能性があります。
研究者は、すべてのバックドア付きリポジトリをGitHubに報告しました。これらは調査が行われた時点でアクティブでしたが、その後削除されました。
翻訳元: https://www.darkreading.com/threat-intelligence/backdoored-malware-new-cybercriminals