Tehdit Aktörleri GitHub'ı Kötü Amaçlarla Giderek Daha Fazla Kötüye Kullanıyor

GitHub'ın bilgi teknolojisi (BT) ortamlarında her yerde bulunması, tehdit aktörlerinin kötü amaçlı yükleri barındırması ve teslim etmesi ve ölü bırakma çözümleyicileri, komuta ve kontrol ve veri sızdırma noktaları olarak hareket etmesini kazançlı bir seçim haline getirdi.

Recorded Future, paylaşılan bir raporda, "Kötü amaçlı altyapı için GitHub hizmetlerini kullanmak, saldırganların meşru ağ trafiğine karışmasına olanak tanıyarak genellikle geleneksel güvenlik savunmalarını atlıyor ve yukarı akış altyapı takibini ve aktör ilişkilendirmesini daha zor hale getiriyor" dedi.

Siber güvenlik firması, bu yaklaşımı, tehdit aktörleri tarafından haydut faaliyetleri gizlemek ve radarın altında uçmak için sıklıkla benimsenen karadan yaşama (LotL) tekniklerinin bir dönüşü olan "güvenilmeyen sitelerde yaşama" (LOTS) olarak tanımladı.

GitHub'ın kötüye kullanıldığı yöntemler arasında öne çıkan, bazı aktörlerin komut ve kontrol (C2) gizleme özelliklerinden yararlandığı yük teslimi ile ilgilidir. Geçen ay ReversingLabs, güvenliği ihlal edilmiş ana bilgisayarlarda kötü amaçlı komutlar almak için GitHub'da barındırılan gizli bir ana kısma dayanan bir dizi sahte Python paketini detaylandırdı.

GitHub'daki tam teşekküllü C2 uygulamaları, diğer altyapı şemalarına kıyasla nadir olsa da, tehdit aktörleri tarafından ölü bırakma çözümleyici olarak kullanımı - burada aktör tarafından kontrol edilen bir GitHub deposundan gelen bilgiler gerçek C2 URL'sini elde etmek için kullanılır - Drokbk ve ShellBox gibi kötü amaçlı yazılımlarda kanıtlandığı gibi çok daha yaygındır.

Ayrıca, Recorded Future'a göre büyük olasılıkla dosya boyutu ve depolama sınırlamaları ve keşfedilebilirlikle ilgili endişelerden kaynaklanan veri hırsızlığı için GitHub'ın kötüye kullanılması da nadiren gözlemlenir.

Bu dört ana planın dışında, platformun teklifleri, altyapıyla ilgili amaçları karşılamak için çeşitli şekillerde kullanılır. Örneğin, GitHub Sayfaları kimlik avı ana bilgisayarları veya trafik yönlendiricileri olarak kullanıldı ve bazı kampanyalar GitHub depolarını yedek C2 kanalı olarak kullanıyor.

Gelişme, Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello ve Discord gibi meşru internet hizmetlerinin tehdit aktörleri tarafından istismar edilme eğilimine işaret ediyor. Bu aynı zamanda GitLab, BitBucket ve Codeberg gibi diğer kaynak kodu ve sürüm kontrol platformlarını da kapsar.

Şirket, "GitHub kötüye kullanım tespiti için evrensel bir çözüm yok" dedi. "Diğerlerinin yanı sıra günlüklerin kullanılabilirliği, organizasyon yapısı, hizmet kullanım kalıpları ve risk toleransı gibi belirli ortamlardan ve faktörlerden etkilenen bir algılama stratejileri karışımına ihtiyaç vardır."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.