Cybersecurity-onderzoekers hebben een voorheen onbekende dreigingsacteur bekendgemaakt die bekend staat als watervloek die afhankelijk is van bewapende GitHub-repositories om multi-fase malware te leveren.
“De malware maakt gegevens-exfiltratie mogelijk (inclusief referenties, browsergegevens en sessietokens)), externe toegang en langdurige persistentie op geïnfecteerde systemen,” zeiden trend micro-onderzoekers Jovit Samaniego, Aira Marcelo, Mohamed Fahmy en Gabriel Nicoleta in een analyse die deze week werd gepubliceerd.
De “brede en aanhoudende” campagne, die vorige maand voor het eerst werd gespot, stelde repositories op met schijnbaar onschadelijke penetratietestshulpprogramma’s, maar herbergd in hun visuele studioprojectconfiguratiebestanden kwaadaardige payloads zoals SMTP-e-mailbomber en Sakura-rat.
Het arsenaal van Water Curse bevat een breed scala aan tools en programmeertalen, waardoor hun cross-functionele ontwikkelingsmogelijkheden worden onderstreept om de supply chain te richten met “ontwikkelaargerichte informatie-stealers die de lijn vervagen tussen Red Team Tooling en Active Malwaredistributie.”
“Na uitvoering begonnen de kwaadaardige payloads complexe multistage -infectieketens met behulp van obfuscated scripts geschreven in Visual Basic Script (VBS) en PowerShell,” zeiden de onderzoekers. “Deze scripts hebben gecodeerde archieven gedownload, op elektronen gebaseerde toepassingen geëxtraheerd en uitgebreide systeemverkenning uitgevoerd.”
De aanvallen worden ook gekenmerkt door het gebruik van antidebugging-technieken, voorrechten escalatiemethoden en persistentiemechanismen om een lange termijn voet aan de grond te houden op de getroffen gastheren. Ook worden PowerShell -scripts gebruikt om gastheerafweer te verzwakken en systeemherstel te remmen.
Water Curse is beschreven als een financieel gemotiveerde dreigingsacteur die wordt aangedreven door diefstal, sessiekaping en wederverkoop van illegale toegang. Maar liefst 76 GitHub -accounts zijn gekoppeld aan de campagne. Er zijn aanwijzingen om te suggereren dat gerelateerde activiteiten mogelijk helemaal teruggaan tot maart 2023.
De opkomst van watervloek is het nieuwste voorbeeld van hoe dreigingsacteurs het vertrouwen misbruiken dat is geassocieerd met legitieme platforms zoals GitHub als een bezorgkanaal voor malware- en podiumsoftware -supply chain -aanvallen.
“Hun repositories omvatten malware, ontwijkingshulpprogramma’s, game cheats, AIMBots, cryptocurrency portemonnee, Osint -schrapers, spambots en credentiële stealers,” zei Trend Micro. “Dit weerspiegelt een multi-verticale targetingstrategie die cybercriminaliteit combineert met opportunistische inkomsten.”
“Hun infrastructuur en gedrag duiden op een focus op stealth, automatisering en schaalbaarheid, met actieve exfiltratie via telegram en openbare diensten voor het delen van bestanden.”
De openbaarmaking komt omdat meerdere campagnes zijn waargenomen met behulp van de heersende ClickFix -strategie om verschillende malwarefamilies te implementeren, zoals asyncrat, DeStaler (via een lader genaamd Hijack Loader), Filch Stealer, Lightperlgirl en Sectoprat (ook via hijacklader).
Asyncrat is een van de vele gemakkelijk beschikbare externe toegang Trojaanse paarden (ratten) die door niet -geïdentificeerde dreigingsactoren is gebruikt om zich zonder onderscheid te richten op duizenden organisaties die sinds begin 2024 meerdere sectoren omvatten. Sommige aspecten van de campagne werden in augustus 2024 en januari 2025 gedocumenteerd.
“Met deze Tradecraft kan de malware traditionele perimeterafweer omzeilen, met name door de tijdelijke tunnels van CloudFlare te gebruiken om ladingen te dienen van schijnbaar legitieme infrastructuur,” zei Halcyon. “Deze tunnels bieden aanvallers van kortstondige en niet-geregistreerde subdomeinen die betrouwbaar lijken op perimetercontroles, waardoor het moeilijk is om voor te blokkeren of op zwarte lijst te brengen.”
“Omdat de infrastructuur dynamisch wordt gesponnen via legitieme diensten, worden verdedigers geconfronteerd met uitdagingen bij het onderscheiden van kwaadaardig gebruik van geautoriseerde DevOps of IT -onderhoudsworkflows. Deze tactiek stelt bedreigingsacteurs in staat om payloads te leveren zonder te vertrouwen op gecompromitteerde servers of kogelvrije hosting, het verhogen van zowel de schaal als de stealth van de campagne.”
De bevindingen volgen ook op de ontdekking van een voortdurende kwaadaardige campagne die zich op verschillende Europese organisaties heeft gericht in Spanje, Portugal, Italië, Frankrijk, België en Nederland met phishing lokken met factuurthema om een genaamd Sorillus Rat (aka ratty rat) te leveren.
Eerdere campagnes die de malware distribueren, hebben boekhoudkundige en belastingprofessionals uitgekozen met behulp van inkomstenbelasting aangifte lokvogels, waarvan sommige HTML -smokkeltechnieken hebben gebruikt om de kwaadaardige payloads te verbergen.
De aanvalsketen gedetailleerd door Orange Cyberdefense maakt gebruik van vergelijkbare phishing -e -mails die ontvangers willen misleiden om PDF -bijlagen met een OneDrive -link te openen die wijst op een PDF -bestand dat rechtstreeks op de cloudopslagservice is gehost, terwijl de gebruiker wordt gevraagd op een “Open de document” -knop.
Als u dit doet, wordt het slachtoffer omgeleid naar een kwaadaardige webserver die fungeert als een verkeersdistributiesysteem (TDS) om het inkomende verzoek te evalueren en te bepalen of ze verder moeten gaan naar de volgende fase van de infectie. Als de machine van het slachtoffer aan de nodige criteria voldoet, worden ze een goedaardige PDF weergegeven, terwijl een JAR -bestand heimelijk wordt gedownload om Sorillus Rat te laten vallen en uit te voeren.
Een op Java gebaseerde rat die voor het eerst opdook in 2019, Sorillus is een platformonafhankelijke malware die gevoelige informatie kan oogsten, bestanden downloaden/uploaden, screenshots kan maken, audio opneemt, logtekens, willekeurige willekeurige opdrachten uitvoeren en zelfs zichzelf verwijderen. Het helpt ook niet dat talloze geregelde versies van de Trojan online beschikbaar zijn.
De aanvallen worden beoordeeld als onderdeel van een bredere campagne die is waargenomen die Sambaspy aan gebruikers in Italië levert. Sambaspy, per oranje cyberdefense, behoort tot de Sorillus Malwarefamilie.
“De operatie toont een strategische mix van legitieme diensten – zoals OneDrive, MediaFire en tunnelingplatforms zoals Ngrok en Localtonet – om detectie te ontwijken,” zei het cybersecuritybedrijf. “Het herhaalde gebruik van Braziliaanse Portugezen in payloads ondersteunt een waarschijnlijke toeschrijving aan Braziliaans sprekende dreigingsacteurs.”
