Recorded Futureは5月14日(米国時間)、「GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure|Recorded Future」において、独立国家共同体(CIS: Commonwealth of Independent States)に拠点を置くロシア語を話す脅威アクターの高度なサイバー犯罪キャンペーンに関する調査レポートを公開した。このキャンペーンでは、GitHubプロファイルを悪用して1Password、Bartender 5、Pixelmator Proなどの正規のアプリケーションになりすまし、情報窃取マルウェアの亜種を配布するという。

  • GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure|Recorded Future

    GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure|Recorded Future

GitHubの悪用

Recorded Futureによると、脅威アクターはGitHub上に偽のプロファイルとリポジトリを巧妙に作成し、人気のあるアプリケーションに偽装したマルウェアを配布したとのこと。このマルウェアはAtomic macOS Stealer(AMOS)、Vidar、Lummaなどの情報窃取マルウェアの亜種とされ、ユーザーの機密情報を窃取する目的があるとみられている。

配布されたさまざまなマルウェアは共通のコマンド&コントロール(C2: Command and Control)サーバに接続し、連携した行動を取ることが確認されている。これは十分なリソースと高度に組織化されたグループが存在することを示唆しており、この脅威グループは複数のオペレーティングシステムやデバイスを持続的に攻撃する能力を持つと推測されている。

緩和策

Recorded Futureはこのような攻撃によるマルウェアの拡散を緩和する方法として、多層アプローチが必要としている。緩和策の詳細はレポートに一覧が掲載されており、これら緩和策を実施することで組織は不正なGitHubリポジトリーを通じて情報窃取マルウェアに侵害されるリスクを大幅に削減し、システムとデータを保護できるとしている。

Recorded Futureの公開したレポート全文は「(PDF) GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure - Recorded Future, By Insikt Group」から閲覧することができる。

また、Recorded Futureは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)およびMitre ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)をレポートに掲載しており、必要に応じて活用することが望まれている。