观察到“多方面活动”滥用GitHub和FileZilla等合法服务,通过冒充1Password、Bartender 5和Pixelmator Pro等可信软件来提供一系列窃取恶意软件和银行木马,如Atomic(又名AMOS)、Vidar、Lumma(又名LummaC2)和Octo。
Recorded Future的Insikt Group在一份报告中表示,多个恶意软件变体的存在表明了广泛的跨平台目标策略,而重叠的C2基础设施指向集中的命令设置——可能会提高攻击的效率。
这家以GitCaught为绰号跟踪活动的网络安全公司表示,该活动不仅强调了滥用真实的互联网服务来策划网络攻击,还强调了依赖针对Android、macOS和Windows的多种恶意软件变体来提高成功率。
攻击链需要使用GitHub上的虚假配置文件和存储库,托管知名软件的假冒版本,目标是来自受损设备的敏感数据。然后,这些恶意文件的链接被嵌入到几个域中,这些域通常通过恶意广告和SEO中毒活动进行分发。
观察到该行动背后的对手被怀疑是来自独立国家联合体(CIS)的讲俄语的威胁行为者,他们也使用FileZilla服务器进行恶意软件管理和交付。
对GitHub上磁盘映像文件和相关基础设施的进一步分析确定,这些攻击与旨在交付RedLine、Lumma、Raccoon、Vidar、Rhadamanthys、DanaBot和DarkComet RAT的更大活动有关,该活动至少自2023年8月起。
Rhadamanthys感染途径还值得注意的是,登陆虚假应用程序网站的受害者被重定向到Bitbucket和Dropbox上托管的有效负载,这表明对合法服务的更广泛滥用。
微软威胁情报团队表示,代号为Activator的macOS后门仍然是一个“非常活跃的威胁”,通过磁盘映像文件分发,冒充合法软件的破解版本,并从Exodus和Bitcoin-Qt钱包应用程序中窃取数据。
这家科技巨头表示,它提示用户以高架权限运行,关闭macOS门禁,并禁用通知中心。然后,它从多个命令和控制(C2)域下载并启动多个阶段的恶意Python脚本,并将这些恶意脚本添加到LaunchAgents文件夹中以进行持久性。
链接:
暂无评论内容