Μια επίθεση εφοδιασμού-αλυσίδας στοχεύει σε διακομιστές Linux με κακόβουλο λογισμικό που είναι κακόβουλο λογισμικό που είναι κρυμμένο σε μονάδες Golang που δημοσιεύονται στο GitHub.
Η εκστρατεία εντοπίστηκε τον περασμένο μήνα και βασίστηκε σε τρεις κακόβουλες ενότητες GO που περιελάμβαναν “εξαιρετικά περιττό κώδικα” για την ανάκτηση απομακρυσμένων ωφέλιμων φορτίων και την εκτέλεση τους.
Πλήρης καταστροφή δίσκου
Η επίθεση εμφανίζεται σχεδιασμένη ειδικά για διακομιστές με βάση το Linux και περιβάλλοντα προγραμματιστών, ως το καταστρεπτικό ωφέλιμο φορτίο – ένα σενάριο bash που ονομάζεται Τέλος.εκτελεί μια εντολή ‘dd’ για τη δραστηριότητα-ρύθμισης αρχείων.
Επιπλέον, το ωφέλιμο φορτίο επαληθεύει ότι τρέχει σε περιβάλλον Linux (runtime.goos == “Linux”) πριν προσπαθήσετε να εκτελέσετε.
Μια ανάλυση από την υποδοχή ασφαλείας της αλυσίδας εφοδιασμού δείχνει ότι η εντολή αντικαθιστά τα μηδενικά κάθε byte δεδομένων, οδηγώντας σε μη αναστρέψιμη απώλεια δεδομένων και αποτυχία συστήματος.
Ο στόχος είναι ο κύριος όγκος αποθήκευσης, /dev/sdaπου περιέχει κρίσιμα δεδομένα συστήματος, αρχεία χρηστών, βάσεις δεδομένων και διαμορφώσεις.
“Με το να πληκτρολογώντας ολόκληρο το δίσκο με μηδενικά, το σενάριο καταστρέφει πλήρως τη δομή του συστήματος αρχείων, το λειτουργικό σύστημα και όλα τα δεδομένα των χρηστών, καθιστώντας το σύστημα μη ενδεχόμενο και δεν μπορεί να ανανεωθεί” – Υποδοχή
Οι ερευνητές ανακάλυψαν την επίθεση τον Απρίλιο και εντόπισαν τρεις μονάδες GO στο GitHub, που από τότε έχουν αφαιρεθεί από την πλατφόρμα:
- github[.]com/truefulpharm/protoToStransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
Και οι τρεις ενότητες περιείχαν κώδικα που αποκωδικοποιείται σε εντολές που χρησιμοποιούν το “WGET” για να κατεβάσετε το κακόβουλο σενάριο-παροχής δεδομένων (/bin/bash ή/bin/sh).
Σύμφωνα με τους ερευνητές της υποδοχής, τα ωφέλιμα φορτία εκτελούνται αμέσως μετά τη λήψη, “αφήνοντας σχεδόν κανένα χρόνο για απάντηση ή ανάκτηση”.
Οι κακόβουλες ενότητες GO φαίνεται να έχουν μιμηθεί νόμιμα έργα για τη μετατροπή των δεδομένων μηνυμάτων σε διάφορες μορφές (πρωτοποριακές), μια εφαρμογή GO του πρωτοκόλλου μοντέλου (GO-MCP) και ένα εργαλείο μεσολάβησης TLS που παρέχει κρυπτογράφηση για τους διακομιστές TCP και HTTP (TLSProxy).
Οι ερευνητές της υποδοχής προειδοποιούν ότι ακόμη και η ελάχιστη έκθεση στις αναλυμένες καταστροφικές ενότητες μπορούν να επηρεάσουν σημαντικά, όπως η πλήρης απώλεια δεδομένων.
Λόγω της αποκεντρωμένης φύσης του οικοσυστήματος GO που δεν διαθέτει τους κατάλληλους ελέγχους, τα πακέτα από διαφορετικούς προγραμματιστές μπορούν να έχουν τα ίδια ή παρόμοια ονόματα.
Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν αυτό για να δημιουργήσουν χώρους ονομάτων μονάδων που φαίνονται νόμιμοι και περιμένουν τους προγραμματιστές να ενσωματώσουν τον κακόβουλο κώδικα στα έργα τους.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
