Microsoft twierdzi, że miliony różnych urządzeń są zainfekowane

Kampania przypisywana jest grupie nazywanej Storm-0408. Celowano w odwiedzających nielegalne witryny streamingowe, gdzie przekierowania złośliwego oprogramowania prowadziły do witryny pośredniej, a następnie do platformy hostującej kod, należącej do Microsoft.

Do hostowania złośliwego oprogramowania używany był głównie Github, ale także Discord oraz Dropbox. Jak twierdzi Microsoft, zaatakowano organizacje i branże z szerokiego zakresu, w tym zarówno urządzenia konsumenckie, jak i korporacyjne.

Wielowarstwowy łańcuch infekcji zaobserwowany w działaniach hakerów obejmował działający jako dropper ładunek pierwszego etapu hostowany w GitHubie, pliki drugiego etapu do wykrywania systemu i kradzieży informacji systemowych oraz ładunki trzeciego etapu służące do dodatkowych złośliwych działań.

Po zainstalowaniu na urządzeniu ofiary złośliwe oprogramowanie przechowywane w repozytoriach GitHub pobierało i wdrażało dodatkowe pliki i skrypty, aby zbierać informacje o systemie, wykonywać polecenia i eksfiltrować dane z zainfekowanych urządzeń.

Badacze Microsoftu zidentyfikowali oprogramowanie z grupy „złodziei informacji”, takich jak Lumma Stealer, i zaktualizowaną wersję Doenerium, które były wdrażane w systemach ofiar, wraz z softem do zdalnego monitorowania i zarządzania (RMM), jak NetSupport, oraz różnymi skryptami PowerShell, JavaScript, VBScript i AutoIT.

W przypadku operacji typu command-and-control (C&C) oraz eksfiltracji danych i poświadczeń przeglądarki hakerzy korzystali z plików binarnych i skryptów Living-off-the-land, jak PowerShell, MSBuild i RegAsm. W celu zapewnienia trwałości atakujący modyfikowali klucze uruchamiania rejestru i dodawali plik skrótu do folderu Startup.

Według Microsoftu ładunki pierwszego etapu używane w kampanii były podpisane cyfrowo. Microsoft zidentyfikował i unieważnił 12 różnych certyfikatów użytych w ramach ataków. Gigant technologiczny udostępnił szczegóły techniczne na temat zaobserwowanych złośliwych plików i skryptów, wraz ze wskaźnikami zagrożenia (IoC), wzywając organizacje i użytkowników do zapewnienia odpowiedniej ochrony swoich systemów przed takimi atakami. Opis można znaleźć tutaj.