出典: Shahid Mehmood via Alamy Stock Photo
新たに特定された脅威グループが、正当なペンテストやその他のセキュリティツールを提供するように見えるGitHubリポジトリを武器化し、悪意のあるビルドスクリプトやプロジェクトファイルを通じてマルウェアを配信しています。このキャンペーンは、特にサイバーセキュリティ専門家、ゲーム開発者、そしてDevOpsチームに依存するオープンソースツールを脅かしています。
Trend Microの研究者がこの活動を発見し、彼らが「ウォーターカース」として追跡している新興グループの仕業であると考えています。ブログ投稿によれば、リポジトリに含まれる多段階のマルウェアは、資格情報、ブラウザデータ、セッショントークンのデータ流出、リモートアクセス、感染システムでの長期的な持続性など、さまざまな機能を持っています。
攻撃者は、SMTPメールボンバーやSakura-RATを含むさまざまなマルウェアをVisual Studioプロジェクトの設定ファイルに埋め込んだ正当なペネトレーションテストユーティリティとしてマルウェアを偽装しています。
「攻撃者はオープンソースソフトウェアへの信頼を悪用し、ペネトレーションテスター、セキュリティ専門家、または仕事でオープンソースツールに頻繁に依存する個人を欺いて、汚染されたコードをダウンロードして実行させました」とTrend Microの脅威研究者は投稿に書いています。
関連:CISA、SimpleHelp RMMに対するランサムウェア攻撃の「パターン」を明らかに
ウォーターカースとは?
Trend Microのレーダーに5月に現れたばかりですが、ウォーターカースは非常に活発なグループで、その起源は2023年3月に遡ります。グループは少なくとも76のGitHubアカウントを武器化されたリポジトリの配信プラットフォームとして使用し、「複数のコミュニティにわたる広範で持続的なキャンペーン」を示しています。
「最も重大なリスクは、レッドチームやペネトレーションテストツールに埋め込まれた悪意のあるインプラントから生じ、セキュリティ専門家や企業環境に対する明確なサプライチェーンの脅威を引き起こします」と研究者は付け加えました。
しかし、グループの標的はサイバーセキュリティ専門家を超えており、ウォーターカースの攻撃の背後には金融的な動機や多要素の協力があることを示唆しています。彼らはデータ流出にTelegramチャンネルや公共のファイル共有サービスを使用しています、と研究者は指摘しました。
リポジトリには、回避ユーティリティ、ゲームチート、エイムボット、暗号通貨ウォレットツール、OSINTスクレイパー、スパムボット、資格情報窃取ツールなど、さまざまなマルウェアや悪意のあるファイルが含まれています。これは「サイバー犯罪と機会主義的な収益化を融合させた多垂直ターゲティング戦略」を反映しています、と研究者は書いています。
典型的な攻撃シナリオ
初期アクセスは通常、GitHubにホストされている複数のオープンソースプロジェクトファイルのいずれかを通じて行われ、埋め込まれたマルウェアが含まれています。悪意のあるペイロードは、GitHubのcodeload.github.comドメインを通じてzipアーカイブダウンロードで配信されます。これはリポジトリアーカイブ用の標準エンドポイントです、と研究者は述べています。
プロジェクトファイルには、<PreBuildEvent>タグ内に悪意のあるバッチファイルコードのスニペットが含まれており、コードがコンパイルされる際にトリガーされます。埋め込まれた悪意のあるコードは次の段階でVBScriptを展開し、PowerShellベースの第二段階スクリプトをドロップして実行します。このスクリプトは、カスタムキー導出ルーチンを使用して復号化または追加のペイロードをロードします。
生成されたPowerShellスクリプトは難読化されていましたが、Trend Microの分析により、パッケージにはSearchFilter.exeという名前のファイルが含まれていることが明らかになりました。このファイルはTempディレクトリから実行されると、システム偵察、特権昇格、回避、アンチデバッグ技術と一致する実行後の動作を示しました。
マルウェアは資格情報アクセス、システム列挙、データ流出のためのデータステージングを行います、と研究者は述べています。具体的な機能には、Chrome、Edge、Firefoxなどのブラウザプロファイルからのパスワード、自動入力データ、閲覧履歴、クッキー、ブックマーク、ダウンロードの収集、GitHubやChatGPTからのセッションアーティファクトの流出、整理されたステージングディレクトリの作成、7-Zipを使用したデータのパッケージ化、および後のリモートアクセスまたは横方向移動のためのRDP設定ファイルの準備が含まれます。
関連:夜間に攻撃する「ライブラリアンゴールズ」サイバー攻撃者
研究者は、キャンペーンに関連する2つのURLを特定し、そのうちの1つはブログ投稿が書かれた時点でまだアクティブでアクセス可能であり、もう1つはアクセスできなくなっていると述べています。
ソフトウェアサプライチェーンを保護する
ウォーターカースは多様なツールと言語を使用し、ソフトウェアサプライチェーンを「開発者向け情報窃取ツールで狙い、レッドチームツールとアクティブなマルウェア配信の境界を曖昧にする」高い適応性を示しています、と研究者は書いています。これは、現代のサイバー脅威における欺瞞、信頼の悪用、深い技術的隠蔽が交差することを強調しています、と彼らは述べています。
このキャンペーンに存在する高度な洗練性と難読化を考慮すると、組織は開発者、DevOpsチーム、ペネトレーションテスターの間でセキュリティ意識と衛生を強化する必要があります。「これらの人々は、オープンソースプラットフォームを利用する脅威ベクトルへの最初の露出ラインにいることが多い」と研究者は指摘しました。
Trend Microは、組織がチームにすべてのサードパーティコードを検証し、可能であれば内部コードリポジトリの使用を促進することを推奨しています。研究者は、異常なビルドスクリプト、見慣れないファイル動作、過度の難読化をフラグとして立てるなど、検証の実践を改善することで、このようなサプライチェーン攻撃からのリスクを大幅に減少させることができると述べています。