サイバーセキュリティ専門家が、RU-APT-ChainReaver-Lと呼ばれる巧妙なサプライチェーン攻撃キャンペーンを特定しました。
このキャンペーンは、国家支援の高度持続的脅威(APT)グループによるもので、GitHubやミラーウェブサイトなどの信頼されたプラットフォームに侵入し、マルウェアを配布して機密情報を盗み出しています。
RU-APT-ChainReaver-Lは、主に人気のあるウェブサイトを標的にすることで、複数の方法を使用してシステムを侵害します。
攻撃者は、ファイル共有サイトやGitHubリポジトリなどの正規のプラットフォームを操作して、マルウェアを配布します。このキャンペーンは、Windows、macOS、iOSを標的としており、それぞれに固有の感染方法があります。
信頼されたサイトを侵害することで、攻撃者はユーザーを欺いて悪意のあるファイルをダウンロードさせます。これらのサイトは、しばしば有名なプラットフォームを模倣しており、被害者を騙して感染したソフトウェアを実行させ、認証情報、暗号通貨ウォレットの鍵などの個人データを盗み出します。
このキャンペーンのユニークな戦術の1つは、悪意のあるファイルを正規のものに見せかけるためのコード署名であり、これによりアンチウイルスプログラムを回避します。
攻撃者は、ダウンロード可能なファイルをホストする人気のミラーウェブサイトに悪意のあるコードを挿入しました。
ユーザーがこれらのサイトにアクセスすると、攻撃者が制御するウェブサイトにリダイレクトされました。ユーザーのオペレーティングシステムに応じて、攻撃者はカスタマイズされたマルウェアを配信します。
特にクラックされたソフトウェアやツールに関連するGitHubリポジトリが、攻撃者によって侵害されました。長い履歴を持つ正規のアカウントを乗っ取ることで、攻撃者は悪意のあるリポジトリを作成しました。
これらのリポジトリは、欺瞞的なコードと悪意のあるダウンロードにつながるリダイレクトリンクをホストしていました。これらの侵害されたアカウントは誤った信頼感を提供し、ユーザーが詐欺に引っかかりやすくしました。
被害者がダウンロードリンクをクリックすると、信頼されたクラウドプロバイダーからのものと思われるサイトに誘導されました。しかし、CAPTCHAチャレンジを完了した後、ユーザーは悪意のあるダウンロードページに誘導されました。
この戦術により、従来のセキュリティシステムが脅威を特定することがより困難になりました。ダウンロードされると、マルウェアは被害者のシステムから機密データを流出させ、攻撃者に送信しました。
RU-APT-ChainReaver-L攻撃は、特にサプライチェーン攻撃の文脈において、サイバー脅威の進化する性質を示しています。
ソフトウェアやシステムの脆弱性を悪用することに焦点を当てた従来の攻撃とは異なり、このキャンペーンは、マルウェアを配布するために信頼されたプラットフォームを操作する危険性を浮き彫りにしています。
翻訳元: https://cyberpress.org/ru-apt-chainreaver-l-supply-chain-attack/