1 月 12 日消息,Recorded Future 旗下威脅研究部門 Insikt Group 近日發布報告,稱 2023 年越來越多的高級持續性威脅(APT)組織利用微軟 GitHub,發起“受信任網站的生存”(living-of-trusted-sites)攻擊。
2023 年 3 月至 11 月樣本中被濫用的 GitHub 服務明細
報告指出,黑客一直鉆 Windows 系統的空子,利用程序和可執行文件來獲得初始訪問權限,而現在這些黑客還能利用可信網站達到類似的目的。
Insikt 指出黑客利用 GitHub 可信網站發起攻擊的幾個原因:
鑒于 GitHub 在企業中的受歡迎程度以及許多企業依賴 GitHub 的事實,大多數企業網絡都不會阻止 GitHub 域名。
利用公開認可的 TLS 加密技術,簡化了整個 C2 服務器的安裝過程,從而降低了運行開銷。
鑒于 GitHub 在惡意活動之外的合法使用情況,惡意軟件開發者對 GitHub 有著廣泛的實際經驗。
通過節省典型的托管或注冊費用,降低基礎設施成本。
正常運行時間長,因為 GitHub 采用冗余服務器和故障轉移機制,具有高可用性。
在 GitHub 上注冊新賬戶只需最低限度的審查(例如,注冊時不要求提供信用卡,這對復雜的 APT 來說是極大的成本節約,因為創建無法追蹤的融資和支付方式既費時又帶來不必要的復雜性)。
服務提供商的檢測可能性有限(尤其是人為控制的賬戶)。
當威脅行為者使用合法互聯網服務(LIS)時,向上游追蹤威脅行為者或識別受害者就變得更具挑戰性。更具體地說,如果追蹤工作依賴于網絡流量分析,那么遇到 LIS 就會成為一大障礙,使惡意流量與合法流量難以區分,從而導致調查工作陷入死胡同。
用于威脅建模的工具有限,針對此類基礎設施設置的可操作威脅情報很少。
【來源:IT之家】
