تحقیقات اخیر گروه Insikt متعلق به Recorded Future منجر به کشف حملات پیچیده سایبری شد که توسط مهاجمان روسی رهبری میشوند. این شرکت امنیت سایبری، فعالیت مورد نظر را تحت نام عملیات GitCaught دنبال میکند.
گروههای سایبری و مهاجمان به طرز ماهرانهای پروفایل و مخازن جعلی در GitHub ایجاد کردهاند و نسخههای نرم افزارهای معروف آلوده به بدافزار را در آنجا ارائه میدهند. نرم افزارهایی همچون 1Password ، Bartender 5 و Pixelmator Pro مشاهده شده است که برای توزیع انواع بدافزارها مانند Lumma (معروف به LummaC2)، Atomic macOS Stealer (AMOS)، Vidar و Octo استفاده شدهاند.
لینکهای این فایلهای مخرب سپس در چندین دامنه قرار داده میشوند که معمولاً از طریق تبلیغات مخرب و SEO poisoning توزیع میگردند.
هدف از این قبل حملات نفوذ به سیستمهای کاربران و سرقت دادههای حساس میباشد. نتایج تحلیلها و بررسیها حاکی از آن است که این گونههای بدافزاری، عملیات مستقلی نیستند. آنها دارای یک زیرساخت فرماندهی و کنترل (C2) مشترک میباشند که نشان دهنده تلاش هماهنگ برای به حداکثر رساندن تأثیر حملات است.
راهاندازی این زیر ساخت مشترک C2 به یک گروه بسیار سازمان یافته دارای منابع قابل توجه توام با توانایی انجام حملات سایبری پایدار در سیستم عاملها و دستگاههای مختلف اشاره دارد.
تکامل انواع بدافزار، چالشهای مهمی را برای دفاع از امنیت سایبری ایجاد میکند. اقدامات امنیتی سنتی اغلب در برابر چنین تهدیدات پیچیده و در حال تحولی پاسخگو نیست. پیچیدگی حملات و توسعه مداوم تاکتیکهای بدافزارهای جدید، نیازمند یک رویکرد فعال و پویا برای امنیت سایبری است.
سازمانها میبایست فورا پروتکلهای امنیتی سختگیرانهای را به ویژه هنگام ادغام کدهای خارجی در محیط خود اتخاذ کنند. اجرای فرآیند بررسی کد در سطح سازمان و استفاده از ابزارهای اسکن خودکار مانند GitGuardian، Checkmarx یا GitHub Advanced Security باید به منظور شناسایی بدافزارهای احتمالی یا الگوهای مشکوک در کد استفاده شوند.
شرکتها همچنین میبایست وضعیت کلی امنیت سایبری خود را با توسعه استراتژیهایی به منظور نظارت و مسدود نمودن برنامههای غیرمجاز و اسکریپتهای شخص ثالث که میتوانند به عنوان دروازهای برای ورود بدافزارها عمل کنند، ارتقا دهند.
به اشتراک گذاری اطلاعات و همکاری با جامعه امنیت سایبری نیز برای رویارویی با چنین حملاتی ضروری میباشد. Recorded Future، لیستی از IoCهای این نفوذ را به اشتراک گذاشته است که از اینجا قابل دسترس میباشند.
