تمكّن مهاجم يُعرف باسم MUT-1244 من سرقة أكثر من 390,000 من بيانات تسجيل الدخول إلى ووردبريس في حملة واسعة النطاق استمرت لأكثر من عام، استهدفت فيها مهاجمين آخرين باستخدام أداة فحص بيانات مُلغّمة.
تفاصيل الهجوم
وفقًا لتقارير Datadog Security Labs:
- استخدم المهاجم أدوات فحص بيانات تسجيل الدخول (Credential Checkers) ملوثة ببرمجيات خبيثة لاستهداف مهاجمين، وباحثين أمنيين، وفِرق اختبار الاختراق، وحتى الهاكرز “الأبيض والأسود” على حد سواء.
- سُرقت بيانات حساسة تشمل:
- مفاتيح SSH الخاصة
- مفاتيح الوصول لخدمات AWS
- معلومات متغيرة البيئة (Environment Variables)
- محتويات الأدلة الرئيسية، مثل ملفات ~/.aws
طرق الاختراق المستخدمة
- مستودعات GitHub ملوثة:
- تضمنت برمجيات خبيثة ضمن أدوات Proof-of-Concept الموجهة لاستغلال ثغرات أمنية معروفة.
- قام المهاجم بتسمية المستودعات بطريقة تُكسبها المصداقية، حيث يتم أحيانًا تضمينها تلقائيًا ضمن مصادر موثوقة مثل Feedly Threat Intelligence و Vulnmon.
- تضمنت المستودعات الخبيثة:
- ملفات configure ملوثة
- ملفات PDF خبيثة
- أدوات تنصيب ملوثة بلغة Python
- حزم npm خبيثة
- حملات تصيد عبر البريد الإلكتروني:
- استخدمت رسائل البريد المخادعة لإقناع الضحايا بتنفيذ أوامر تُثبّت البرمجيات الخبيثة، بما في ذلك تحديثات زائفة للمعالجات (Fake CPU Microcode Updates).
- هجمات سلسلة التوريد (Supply-Chain Attack):
- تضمنت استخدام أدوات مثل yawpp المُروّجة كأداة لفحص بيانات ووردبريس المسروقة.
البرمجيات الضارة المستخدمة
- البرمجيات الخبيثة التي تم نشرها تضمنت:
- برمجيات تعدين العملات الرقمية (Monero)
- أبواب خلفية لجمع البيانات وتهريبها إلى منصات تخزين سحابية مثل Dropbox و file.io.
- أكدت التحليلات وجود بيانات اعتماد مُدمجة (Hardcoded Credentials) في الشيفرة الخبيثة، مما سهّل وصول المهاجمين إلى البيانات المسروقة.
تأثير الحملة
- استُغلّت الثقة داخل مجتمع الأمن السيبراني لنجاح الهجمات.
- أصيبت عشرات الأنظمة التابعة لمهاجمين، وباحثين، وفِرق اختبار أمني بعد تشغيلهم للأدوات المُلوّثة دون علمهم.
- يُقدّر أن مئات الأنظمة لا تزال مُخترقة حتى الآن، مما يجعل هذه الحملة مستمرة وخطيرة.
تدفق الهجوم
- يُحمّل المهاجم مستودعات مُسممة على GitHub.
- ينخدع الضحايا (الباحثون والمهاجمون) بتنزيل وتشغيل الأدوات.
- تُزرع البرمجيات الضارة على الأنظمة.
- تُجمع بيانات تسجيل الدخول ومفاتيح SSH وبيانات AWS.
- تُرسل البيانات إلى خدمات التخزين السحابي.
خلاصة
نجح المهاجم MUT-1244 في استخدام أدوات ملوثة وشن هجمات سلسلة توريد مُحكمة، مما أدى إلى سرقة بيانات ضخمة من مهاجمين آخرين وباحثين أمنيين على مدار عام كامل. هذه الحملة تُسلط الضوء على خطورة الثقة الزائفة في الموارد المفتوحة المصدر وأهمية التحقق من صحة الأدوات قبل تشغيلها.
ابدأ المناقشة في forum.mjbtechtips.com