开源开发人员针对复杂的恶意软件攻击
在过去的几个月里,在GitHub上发布代码的开发人员已经针对了一种使用鲜为人知但有效的云符恶意软件的攻击活动。
该攻击在1月份开始,并由专门制作的恶意电子邮件组成,以吸引开发人员的注意,例如帮助开发项目的请求和定制编程工作的优惠。
电子邮件具有.gz附件,其中包含了包含恶意宏代码的Word文档。如果允许执行,宏代码执行了向远程服务器达到的PowerShell脚本,并下载了称为Dimnie的恶意软件程序。
根据Palo Alto Networks的研究人员,Dimnie自2014年以来一直存在于2014年,但直到现在雷达下飞过,因为它主要是针对来自俄罗斯的用户。
恶意软件使用一些隐秘的技术使其恶意流量混合到普通用户活动中。它生成似乎要指向Google拥有的域名的请求,但实际上将发送到攻击者控制的IP地址。
Dimnie能够下载额外的恶意模块,该模块直接注入了合法Windows进程的内存。这些模块在磁盘上没有痕迹,这使得它们的检测和分析更复杂,Palo Alto研究人员在博客帖子中说。
有单独的键入,屏幕抓取模块,与附加到计算机的智能卡交互,更多。甚至有一个自毁的模块,可以从系统驱动器中擦除所有文件,以销毁恶意软件的迹线。
从受感染的计算机窃取的数据被加密并附加到图像标题,以绕过入侵防御系统。
虽然Palo Alto网络没有将这些攻击归因于特定群体,但恶意软件仍然与怀疑州赞助的最近攻击的相似性:使用具有恶意宏的文件,使用Powershell,恶意装载代码直接在内存中,使用隐秘的命令和控制通道和数据exfiltration技术,高度有针对性的网络钓鱼活动等等。
开发人员可以是讯连月架的有价值的目标。他们的计算机通常持有雇主的专有信息和访问凭据“网络和系统。
雅虎突破导致黑客获得了5亿用户签署的账目,以获得矛盾的电子邮件。
Dimnie攻击活动似乎有专门针对Github上的目标开发人员,这是一个免费的源代码托管服务。此类别还包括为大型公司而工作的开发人员,并在业余时间发布个人开源项目。
在答复关于1月份关于这些电子邮件的报告中,Gervase Markham作为Mozilla担任政策工程师,他表示他收到了几个这样的消息到他只在GitHub上使用的电子邮件地址。这使他认为目标可能已经自动化。
通过访问源代码存储库和分发服务器攻击者可以将后门注入软件项目或将编译的二进制文件转换为特洛伊木马。这在过去发生了多次。例如,在项目官方网站上托管的传输BitTorrent客户端的MacOS版本被发现包含两个独立场合的恶意软件。