خانه » بخش کامنت GitHub برای انتشار Remcos RAT مورد سوء استفاده قرار گرفت!

بخش کامنت GitHub برای انتشار Remcos RAT مورد سوء استفاده قرار گرفت!

توسط Vulnerbyte
413 بازدید
گروه vulnerbyte - بخش کامنت GitHub - تروجان Remcos RAT

یک دسته حملات بدافزاری جدید با مضمون مالیات، بخش‌های بیمه و دارایی را مورد هدف قرار داده است و از لینک‌های GitHub در ایمیل‌های فیشینگ به عنوان راهی برای دور زدن مکانیزم‌های امنیتی و ارائه تروجان Remcos RAT استفاده می‌کند.

جذابیت این حملات فیشینگ در ارائه پیشنهادات تمدید زمان مالیات با توجه به فرصت کم باقی مانده است. فایل‌های آرشیو موجود در مخزن GitHub دارای رمز عبور به منظور جلوگیری از اسکن توسط نرم افزارهای امنیتی هستند و حاوی تروجان دسترسی از راه دور Remcos می‌باشند.

GitHub یک پلتفرم توسعه دهنده است که امکان همکاری آزاد در پروژه‌های نرم افزاری را فراهم می‌آورد. بخش کامنت GitHub را می‌توان به منظور تسهیل ارتباط بین توسعه دهندگان، به مخزن کد منبع اضافه کرد. محتوای این کامنت‌ها (نظرات) ممکن است شامل تغییرات پیشنهادی، اطلاعات بیشتر از یک کاربر در مورد یک موضوع یا مستندات باشد، اما محدود به آن نیست و می‌تواند به صورت متن قالب بندی شده، لینک‌های خارجی و پیوست ارسال شوند.

گروه vulnerbyte - بخش کامنت GitHub - تروجان Remcos RAT
یک کامنت در GitHub که یک فایل را بدون اینکه آن را به مخزن اختصاص دهد آپلود کرده است

کامنت‌ها برای مدیریت پروژه با استفاده از مسائل و مشکلات GitHub مفید هستند. توسعه‌دهندگان نرم ‌افزار می‌توانند از آن برای مستندسازی مسائل، ایجاد تسک‌های خرد برای مشارکت‌کنندگان جدید، دریافت ویژگی‌های جدید و ایجاد نقشه راه برای پیشرفت نرم ‌افزار استفاده کنند.

کامنت‌های GitHub برای یک هکر هم مفید هستند چرا که بدافزار را می‌توان به یک کامنت در یک مخزن GitHub بدون نیاز به آپلود آن در فایل کد منبع آن مخزن متصل کرد. این بدان معناست که مخزن قانونی GitHub هر سازمانی که دارای بخش کامنت است می‌تواند حاوی فایل‌های تایید نشده خارج از کد بررسی شده باشد.

این ضعف قبلاً توسط هکرها برای ارائه Redline Stealer از طریق مخازن مرتبط با مایکروسافت مورد سوء استفاده قرار گرفته است. فایل‌های غیرمجاز که از طریق کامنت‌ها آپلود می‌گردند به دایرکتوری‌های فرعی فایل‌ها ختم می‌شوند:

hxxps[:]//github[.]com/python/cpython/files/12345678/example[.]zip

Note that vetted repository files are accessible from the tree subdirectory:

hxxps[:]//github[.]com/python/cpython/tree/main/Doc

فایل‌ها می‌توانند از طریق بخش کامنت GitHub با یک مخزن قانونی مرتبط شوند (مثلاً مخزن cpython پایتون) اما در کد قابل مشاهده نباشند. جالب است که کامنت اصلی حاوی فایل‌های بدافزار را می‌توان حذف کرد، اما لینک بدافزار باقی خواهد ماند.

گروه vulnerbyte - بخش کامنت GitHub - تروجان - rat
دانلود فایل آرشیو Remcos RAT که با وجود حذف کامنت، همچنان فعال باقی مانده است

استفاده از GitHub برای میزبانی بدافزار، تاکتیک جدیدی نیست. ایمیل‌های دارای لینک به GitHub در دور زدن امنیت گیت وی ایمیل موثر هستند زیرا GitHub معمولاً یک دامنه قابل اطمینان است. لینک‌های GitHub به هکرها این امکان را می‌دهند تا مستقیماً به آرشیو بدافزار در ایمیل بدون نیاز به استفاده از تغییر مسیرهای Google، کدهای QR و یا سایر تکنیک‌های دور زدن گیت وی امنیتی ایمیل پیوند دهند.

گروه vulnerbyte - بخش کامنت GitHub - تروجان Remcos RAT
نمونه ایمیل ارسالی حاوی Remcos RAT با استفاده از لینک کامنت GitHub

از آنجایی که این حمله بدافزاری دارای مضمون مالیاتی بود، هر صنعتی می‌توانست قربانی آن باشد چرا که اغلب سازمان‌ها مالیات پرداخت می‌کنند اما بررسی دقیق‌تر داده‌ها نشان داده است که تنها دو صنعت بیمه و دارایی (مالی) مورد هدف این دسته حملات قرار گرفته‌اند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید