Socket の脅威研究チームによって発見された悪意のある Go モジュールは、正当な暗号化ライブラリになりすまして Go エコシステムを悪用しています。
GitHub上でgithub.com/xinfeisoft/cryptoとしてホストされているこのモジュールは、よく知られたgolang.org/x/cryptoコードベースを模倣していますが、機密認証情報をキャプチャし、Rekoobe バックドアをデプロイするようにバックドア化されています。
この攻撃の背後にある脅威アクターは、サプライチェーン侵害技術を活用してユーザーに感染させ、パスワードを盗み、侵害されたシステム上で任意のコマンドを実行しています。
悪意のある Go モジュールは、Go エコシステムで信頼されている広く使用されている暗号化ライブラリである golang.org/x/crypto を巧みに装っています。
正当な ssh/terminal/terminal.go ファイル内の ReadPassword メソッドを変更して、サイレント入力されるパスワードをキャプチャします。
このバックドア化されたモジュールを使用しているアプリケーションがユーザーにパスワードの入力を促すと、変更された ReadPassword 関数が入力された認証情報をインターセプトし、ローカルに保存してから、脅威アクターが制御するリモートサーバーにデータを外部流出させます。
バックドアはまた、GitHub ホストリソースからスクリプトをフェッチして、侵害されたシステム上で実行します。
このスクリプトはLinux ステージャーとして機能し、永続性のために SSH キーを追加する、iptables のデフォルトポリシーを変更してすべての着信と発信トラフィックを受け入れるようにする、メディア ファイルに見せかけた追加ペイロードをダウンロードするなど、システム構成を変更します。
これらのペイロードは、Rekoobe Linux バックドアであることが確認されており、攻撃者にシステムへのリモート制御を提供し、さらなる悪用を可能にします。
ダウンロードされたペイロードは、メディア ファイルに見せかけるために .mp5 拡張子で偽装されており、sss.mp5 と 555.mp5 が含まれます。
これらのペイロードを分析した後、sss.mp5 が偵察ツールとして機能し、接続を確立して予想されるネットワークトラフィックに調和していることを確認しました。
2 番目のペイロード 555.mp5 は、APT31 (Zirconium) のスパイ活動にリンクされた Rekoobe バックドアとして識別されます。このバックドアはカスタムコマンド アンド コントロール (C2) サーバーと通信し、TCP ポート 443 経由の標準 HTTPS トラフィックを模倣することで従来のセキュリティ対策を回避します。
攻撃チェーンは、Go モジュールがバックドア化された ReadPassword 関数を通じてパスワードをキャプチャするときに開始されます。次に、GitHub ホストファイルからスクリプトを取得し、バックドアペイロードのダウンロードと実行を含む次のステージを開始します。
バックドアは、/home/ubuntu/.ssh/authorized_keys にSSH キーを追加することで永続性をさらに固め、侵害されたパスワードが変更されても継続的なアクセスを保証します。
悪意のあるペイロードは、iptables を変更してシステムのセキュリティ態勢を弱め、侵害されたマシンとの間の無制限のトラフィックを許可します。
警戒を怠らず、依存関係を積極的に保護することで、組織はサプライチェーンの弱点を悪用する悪意のあるアクターからより良く身を守ることができます。
翻訳元: https://cyberpress.org/go-crypto-steals-credentials-deploys-rekoobe/