Istraživači iz oblasti sajber bezbjednosti otkrili su dosad nepoznatog hakera poznatog pod imenom Water Curse, koji koristi kompromitovane GitHub repozitorije za isporuku višefaznog malvera.
„Malver omogućava krađu podataka (uključujući lozinke, podatke iz pretraživača i sesijske tokene), daljinski pristup i dugoročnu prisutnost na inficiranim sistemima,“ naveli su istraživači iz kompanije Trend Micro – Jovit Samaniego, Aira Marcelo, Mohamed Fahmy i Gabriel Nicoleta – u analizi objavljenoj ove sedmice.
Ova „široka i kontinuirana“ kampanja, prvi put otkrivena prošlog mjeseca, postavila je repozitorije koji naizgled nude bezopasne alate za testiranje bezbjednosti, poput SMTP email bombardera i Sakura-RAT-a, ali su u fajlovima Visual Studio projekata sakriveni maliciozni kodovi dizajnirani za krađu osjetljivih podataka.
Repertoar Water Curse grupe koristi širok spektar alata i programskih jezika, što pokazuje njihovu sposobnost da razvijaju malver za više platformi, s ciljem da ugroze lance snabdijevanja alatima orijentisanim na programere – alatima koji zamagljuju granicu između legitimnih bezbjednosnih alata i pravog malvera.
„Po izvršavanju, maliciozni fajlovi pokreću kompleksan višestepeni lanac infekcije koristeći zamaskirane skripte napisane u Visual Basic Script-u (VBS) i PowerShell-u,“ navode istraživači. „Ove skripte preuzimaju enkriptovane arhive, otpakuju aplikacije bazirane na Electron-u i vrše detaljno izviđanje sistema.“
Napadi se takođe karakterišu primjenom tehnika protiv otkrivanja (anti-debugging), metodama za eskalaciju privilegija i mehanizmima za očuvanje prisutnosti (persistencijom) na zaraženim sistemima. PowerShell skripte se koriste i za slabljenje zaštite domaćina i onemogućavanje oporavka sistema.
Water Curse je opisan kao finansijski motivisan akter, koji se bavi krađom kredencijala, otimanjem sesija i preprodajom ilegalnog pristupa. Kampanja je povezana sa čak 76 GitHub naloga, a postoji i dokaz da su slične aktivnosti u toku još od marta 2023. godine.
Korištenje GitHub-a kao kanala za distribuciju malvera nije novost – ali kreiranje mreže repozitorija pomoću velikog broja GitHub naloga podsjeća na sličnu DaaS infrastrukturu Stargazers Ghost Network.
Kada je kontaktiran, Check Point Research je za The Hacker News izjavio da ne može „ni potvrditi ni negirati“ da su ove aktivnosti dio Stargazers mreže, ali su napomenuli da je metoda napada pomoću <PreBuildEvent> korištena u ranijim kampanjama povezanim s ovom mrežom.
Pojava grupe Water Curse je još jedan primjer kako se povjerenje u legitimne platforme poput GitHub-a iskorištava za distribuciju malvera i izvođenje napada na lanac snabdijevanja softverom.
„Njihovi repozitoriji uključuju malver, alate za izbjegavanje detekcije, cheat alate za igre, aimbot-ove, alate za kripto novčanike, OSINT alate, spam botove i alate za krađu kredencijala,“ navodi Trend Micro. „To ukazuje na strategiju napada na više vertikala, koja kombinuje sajber kriminal sa oportunističkim metodama zarade.“
„Njihova infrastruktura i ponašanje pokazuju fokus na nevidljivost, automatizaciju i skalabilnost, uz aktivno izvlačenje podataka putem Telegrama i javnih servisa za dijeljenje fajlova.“
ClickFix strategija i nove malver porodice
Ova otkrića dolaze u trenutku kada su identifikovane višestruke kampanje koje koriste taktiku ClickFix za isporuku raznih malver porodica, uključujući AsyncRAT, DeerStealer (putem Hijack Loader-a), Filch Stealer, LightPerlGirl i SectopRAT.
AsyncRAT je jedan od brojnih dostupnih alata za daljinski pristup (RAT), koji neidentifikovani napadači koriste od početka 2024. za nasumične napade na hiljade organizacija u raznim sektorima. Neki aspekti kampanje dokumentovani su od strane Forcepoint-a u avgustu 2024. i januaru 2025.
„Ova taktika omogućava malveru da zaobiđe tradicionalnu zaštitu mrežnih perimetara, naročito koristeći Cloudflare-ove privremene tunelske veze za isporuku malvera sa naizgled legitimne infrastrukture,“ navodi bezbjednosna kompanija Halcyon.
„Pošto se infrastruktura dinamički aktivira putem legitimnih servisa, branitelji teško razlikuju malicioznu aktivnost od regularnog DevOps ili IT održavanja. Ova metoda omogućava isporuku malvera bez oslanjanja na kompromitovane servere ili ‘bulletproof hosting’, čime se povećavaju i razmjere i nevidljivost napada.“
Sorillus RAT i ciljanje evropskih organizacija
U međuvremenu, otkrivena je kampanja usmjerena na evropske organizacije u Španiji, Portugalu, Italiji, Francuskoj, Belgiji i Holandiji, pomoću phishing poruka sa temom faktura, koje isporučuju malver Sorillus RAT (poznat i kao Ratty RAT).
Prethodne kampanje koje su širile ovaj malver ciljale su računovođe i poreske stručnjake koristeći lažne dokumente o poreskim prijavama, pri čemu su korištene tehnike HTML smuggling-a za prikrivanje malicioznih fajlova.
Lanac napada, koji je dokumentovao Orange Cyberdefense, koristi phishing email koji korisnike mami da otvore PDF fajl koji vodi ka OneDrive linku, a zatim ih usmjerava na maliciozni server (TDS) koji odlučuje da li će pokrenuti infekciju. Ako uslovi budu ispunjeni, korisniku se prikaže bezopasan PDF, dok se u pozadini preuzima JAR fajl koji isporučuje i izvršava Sorillus RAT.
Sorillus, prvi put otkriven 2019, je Java-based trojanac koji radi na više platformi, sposoban da prikuplja osjetljive podatke, preuzima i šalje fajlove, pravi snimke ekrana, snima zvuk, loguje tastaturu, izvršava komande i sam sebe deinstalira. Dodatno otežavaju situaciju brojne piratske verzije ovog trojanca koje su dostupne online.
Ovi napadi su dio šire kampanje koja se povezuje i sa malverom SambaSpy, za koji Orange Cyberdefense tvrdi da pripada istoj Sorillus porodici.
„Ova operacija kombinuje legitimne servise – kao što su OneDrive, MediaFire i tunel platforme poput Ngrok i LocaltoNet – da bi se izbjegla detekcija,“ zaključuje kompanija. „Ponavljana upotreba portugalskog jezika u payload-ima ukazuje na vjerovatnu povezanost sa napadačima koji govore portugalski, najvjerovatnije iz Brazila.“
Izvor:The Hacker News