GitHubとGitLabは、世界中のプログラマー、プロジェクトマネージャー、ソフトウェア開発者にとって不可欠なツールです。しかし、この広く信頼されているプラットフォームは、サイバー犯罪者によってますます悪用されています。
これらのGitリポジトリプラットフォームはビジネス運営に不可欠であるため、企業ネットワークはそれらを単にブロックすることはできません。
これらの攻撃を実行するため、サイバー犯罪者はGitプラットフォームのコア機能を悪用します。マルウェアを配信する場合、攻撃者は通常、github.com、githubusercontent.com、gitlab.comなどのプライマリドメインに依存しています。
例えば、GitHubドメインを悪用するキャンペーンの53%はマルウェア配信に焦点を当てています。
攻撃者は、プラットフォームの標準ユーザーインターフェースをトリガーせずにバックグラウンドでペイロードをひそかにダウンロードするために、githubusercontent.comでホストされているプレーンテキストファイル形式をよく利用しています。
同様に、GitLabドメインを悪用するキャンペーンの64%はマルウェア配信専用に構築されています。アンチマルウェアスキャナーを回避するために、攻撃者は.zipや.7zなどのパスワード保護されたアーカイブファイル内にペイロードを隠すことが多くあります。
マルウェアを配信する際、攻撃者はリモートアクセストロイ(RAT)と情報盗聴ツールを強く好みます。これらのキャンペーンでは30以上の異なるマルウェアファミリーが観察されています。
最も一般的なペイロードはRemcos RATで、全体の21%を占め、GitHub攻撃を支配しています。
その他の頻繁に使用されるペイロードには、Byakugan盗聴ツール、Async RAT、およびGitLabを経由して配信される最も人気のあるペイロードであるDcRATが含まれています。
これらのツールは攻撃者に感染したデバイスのリモート制御を許可し、ブラウザーのパスワードを盗んだり、恐喝のための機密ファイルを流出させたりすることが可能になります。
おそらく最も懸念すべき発展は、ハイブリッド型デュアル脅威攻撃の増加です。現代の脅威アクターはマルウェアと認証情報フィッシングを高度に回避的な攻撃チェーンに組み合わせています。
例えば、一部のキャンペーンはGitHubを使用して情報盗聴ツールを展開し、その直後に認証情報をフィッシングする偽の文書ポップアップを表示することに成功しています。これにより、デバイスへの持続的なアクセスと認証情報の即座の盗聴の両方が保証されます。
GitLabはデバイス検出を利用した同等に高度なキャンペーンをホストしています。被害者のブラウザーのユーザーエージェントを分析することで、悪意のあるランディングページは動的にペイロードを決定します。
被害者がWindowsコンピューターを使用している場合、ページはGoTo RATなどの悪用された正規リモート管理ツールを配信します。MacまたはAndroidデバイスからアクセスされた場合、ページは認証情報フィッシングポータルを提供する戦術に切り替わります。
この傾向に対する防御には、階層化されたセキュリティアプローチとユーザーの警戒心の向上が必要です。従来のブロックリスト方法は信頼されたクラウドコラボレーションプラットフォームに対して機能しないためです。
翻訳元: https://cyberpress.org/github-gitlab-fuel-attacks/