Хакеры используют тестирование безопасности в своих целях, используя пакеты npm, PyPI и Ruby для эксплойтов

security IOC

Сервисы OAST (открытых API для тестирования безопасности) за последний год стали предметом интереса злоумышленников, которые используют эти сервисы для утечки данных и создания каналов C2 (управления и контроля) в своих атаках. Они используют скомпрометированные пакеты JavaScript, Python и Ruby, чтобы достичь своих целей.

Описание

Конкретный пример злоумышленного использования осуществляется через пакет npm с высокой версией, представляющийся под API Adobe. Он использует обфусцированный JavaScript, чтобы обойти проверки геолокации и передает украденные данные на сайт oastify.com. Однако, если местоположение пользователя определяется как Россия, то выполнение вредоносной программы прекращается.

Злоумышленники также определяют виртуализированные среды, используя определенные процессы, связанные с VirtualBox и VMware. Это позволяет им уклониться от обнаружения и анализа в данный момент. Вредоносный скрипт собирает данные о системе и пользователе, а также публичный IP-адрес, и пересылает эти данные на конечную точку на сайте oastify.com.

Другой пример злоумышленного использования OAST заключается в том, что злоумышленник опечатывает легитимный пакет на PyPI, чтобы собрать информацию о хосте, имени пользователя и текущем рабочем каталоге через вредоносные домены. Затем этот пакет отправляет данные на эксфильтрацию на жестко закодированные URL-адреса злоумышленника.

Наконец, злоумышленники использовали вредоносные RubyGems для утечки информации через DNS-запросы на домен oastify.com, обходя основные системы обнаружения вторжений. Скрипт собирает системную информацию, такую как имя хоста и имя пользователя, и отправляет ее в DNS-запросе на сервер злоумышленника, который, вероятнее всего, используется для разведки перед последующими атаками.

Однако, OAST также представляет огромный потенциал для обеспечения безопасности. Предоставление разработчикам и инженерам по безопасности возможности обнаруживать и устранять уязвимости заблаговременно является ценным преимуществом. Однако, необходимы постоянные усилия для использования OAST в защите и снижения рисков, связанных с его злоумышленным использованием.

Indicators of Compromise

Domains

  • dnipqouebm-psl.cn.oast-cn.byted-dast.com
  • gbv6crrcecvsm77b41bxoih8wz2rqie7.oastify.com
  • kc0262r8oypagq3e8f89uaqmodu4i16q.oastify.com
  • oqvignkp58-psl.i18n.oast-row.byted-dast.com
  • sbfwstspuutiarcjzptfenn9u0dsxhjlu.oast.fun
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий