Nel panorama della sicurezza informatica, emergono costantemente nuovi attori di minacce con tattiche sempre più sofisticate: uno degli ultimi gruppi a destare preoccupazione è MUT-1244, noto per prendere di mira pentester e ricercatori di sicurezza e persino altri attori malevoli.
Secondo la ricerca di Datadog Security Labs, l’autore avrebbe utilizzato un verificatore di credenziali WordPress trojanizzato per rubare dati che ha portato al furto di oltre 390.000 credenziali WordPress, chiavi di accesso private SSH e AWS dai sistemi compromessi di centinaia di vittime.
Indice degli argomenti
Tecniche utilizzate per ottenere l’accesso iniziale
I ricercatori hanno osservato che MUT-1244 avrebbe utilizzato due metodi principali per ottenere l’accesso iniziale ai sistemi delle vittime, tra cui il phishing e i repository GitHub trojanizzati.
Fonte: Datadog Security Labs.
MUT-1244 avrebbe utilizzato campagne di phishing altamente mirate per ingannare le vittime e ottenere accesso alle loro credenziali, impersonando comunicazioni legittime allo scopo di rendere difficile distinguere tra e-mail autentiche e false.
Ad esempio, il campione e-mail di phishing rilevato dai ricercatori mostra una notifica importante per installare un falso aggiornamento del kernel su Linux.
Fonte: Datadog Security Labs.
“Quando si clicca sul link, la vittima viene indirizzata sull’indirizzo https://www.opencompiled[.]org/patches/cpu-microcode-2024-09-21.html”, commentano i ricercatori. “Alla vittima viene quindi presentata una pagina che chiede di copiare e incollare un pezzo di codice dannoso. A nostra conoscenza, questo è il primo attacco di tipo “ClickFixpatch-mc-0x129.sh” documentato che prende di mira i sistemi Linux. Quando la vittima esegue il comando dannoso, viene eseguito lo script dal repository GitHub opencompiled-oss/kernel-patch”.
Fonte: Datadog Security Labs.
Un’altra tattica chiave di MUT-1244 sarebbe stata l’uso di repository GitHub compromessi, spacciati come proof-of-concept (PoC) per vulnerabilità note.
Questi repository contenevano in realtà codice malevolo che, una volta scaricato e utilizzato dai professionisti della sicurezza, comprometteva i loro sistemi.
Le tecniche utilizzate nei repository trojanizzati includevano molteplici metodi per nascondere e distribuire payload dannosi. Alcuni repository contenevano exploit che nascondevano codice backdoor all’interno di file di configurazione.
In altri casi, il codice dannoso era invece incorporato in file PDF oppure distribuito tramite script dropper Python o pacchetti npm dannosi.
Dati compromessi, ingannati anche altri attori malevoli
Come detto, le attività di MUT-1244 hanno portato alla compromissione di centinaia di migliaia di credenziali. Tra i dati rubati ci sono chiavi private SSH, chiavi di accesso AWS e oltre 390.000 credenziali WordPress.
I ricercatori ritengono che queste credenziali siano state originariamente in possesso di altri attori malintenzionati e successivamente compromesse quando gli stessi avrebbero utilizzato uno strumento trojanizzato chiamato “yawpp” per convalidarle.
Tale strumento pubblicizzato come legittimo verificatore di credenziali WordPress, è risultato così di fatto un’ottima esca contro altri attaccanti ignari della sua reale natura.
Fonte: Datadog Security Labs.
Implicazioni per i professionisti della sicurezza
MUT-1244 è un esempio di come gli attori di minacce stiano evolvendo e adattando le loro tecniche per colpire obiettivi specifici.
La comunità della sicurezza deve rimanere in allerta e collaborare per condividere informazioni e strategie di difesa contro queste minacce emergenti, adottando misure preventive per proteggere credenziali e sistemi (verificare la fonte degli strumenti e PoC utilizzati, formare i team di sicurezza, implementare una solida gestione delle chiavi SSH e AWS, monitorare gli IoC, adottare strumenti avanzati di rilevamento per identificare le potenziali minacce prima che si diffondano lungo la catena di approvvigionamento del software).
“L’indagine MUT-1244 evidenzia come gli aggressori stiano sfruttando metodi semplici ma efficaci, come strumenti trojanizzati e campagne di phishing, per colpire professionisti della sicurezza e ricercatori. È anche un promemoria per rimanere vigili e controllare attentamente strumenti e fonti prima dell’uso”, concludono i ricercatori Christophe Tafani-Dereeper, Matt Muir e Adrian Korn di Datadog Security Labs.
