GitHub – новая социальная сеть для киберпреступников
Recorded Future подчёркивает глобальный рост угрозы легитимных платформ.
Согласно недавнему отчёту издания Recorded Future, платформа для разработчиков GitHub в последнее время превратилась в популярный инструмент для хакеров, которые используют его для размещения и доставки вредоносных программ.
Платформа предоставляет атакующим возможность маскировать свои действия под легитимный сетевой трафик, что затрудняет отслеживание и определение личности злоумышленников.
Эксперты называют эту тактику «Living Off Trusted Sites» (LOTS), что является модификацией техники «Living off the Land» (LotL), часто используемой злоумышленниками для скрытия вредоносной деятельности.
Наиболее распространённым способом злоупотребления GitHub является доставка вредоносных программ. Например, компания ReversingLabs в прошлом месяце сообщала о ряде поддельных Python-пакетов, которые получали вредоносные команды из секретных репозиториев GitHub.
Хотя полноценные реализации систем управления в GitHub встречаются реже, чем другие инфраструктурные схемы, использование платформы в качестве «мёртвого ящика» — для получения URL управляющих серверов — встречается гораздо чаще. Также редко, но всё же фиксируется использование GitHub для выгрузки данных, что, по мнению Recorded Future, связано с ограничениями на размер файлов и опасениями обнаружения.
Помимо этих схем, GitHub часто используется злоумышленниками различными способами, включая применение GitHub Pages в качестве хостов для фишинга или перенаправления трафика, а также как резервный канал управления.
Отчёт Recorded Future подчёркивает общую тенденцию к эксплуатации злоумышленниками легитимных интернет-сервисов, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello, Discord, и различных платформ для управления исходным кодом, включая GitLab, BitBucket, Codeberg.
Recorded Future указывает, что универсального решения для обнаружения злоупотреблений популярными сервисами не существует. Требуется комбинация стратегий обнаружения, которая зависит от конкретной среды, доступности журналов, структуры организации, моделей использования сервиса и уровня риска.
Цифровые следы - ваша слабость, и хакеры это знают.