Сервисы OAST (открытых API для тестирования безопасности) за последний год стали предметом интереса злоумышленников, которые используют эти сервисы для утечки данных и создания каналов C2 (управления и контроля) в своих атаках. Они используют скомпрометированные пакеты JavaScript, Python и Ruby, чтобы достичь своих целей.
Описание
Конкретный пример злоумышленного использования осуществляется через пакет npm с высокой версией, представляющийся под API Adobe. Он использует обфусцированный JavaScript, чтобы обойти проверки геолокации и передает украденные данные на сайт oastify.com. Однако, если местоположение пользователя определяется как Россия, то выполнение вредоносной программы прекращается.
Злоумышленники также определяют виртуализированные среды, используя определенные процессы, связанные с VirtualBox и VMware. Это позволяет им уклониться от обнаружения и анализа в данный момент. Вредоносный скрипт собирает данные о системе и пользователе, а также публичный IP-адрес, и пересылает эти данные на конечную точку на сайте oastify.com.
Другой пример злоумышленного использования OAST заключается в том, что злоумышленник опечатывает легитимный пакет на PyPI, чтобы собрать информацию о хосте, имени пользователя и текущем рабочем каталоге через вредоносные домены. Затем этот пакет отправляет данные на эксфильтрацию на жестко закодированные URL-адреса злоумышленника.
Наконец, злоумышленники использовали вредоносные RubyGems для утечки информации через DNS-запросы на домен oastify.com, обходя основные системы обнаружения вторжений. Скрипт собирает системную информацию, такую как имя хоста и имя пользователя, и отправляет ее в DNS-запросе на сервер злоумышленника, который, вероятнее всего, используется для разведки перед последующими атаками.
Однако, OAST также представляет огромный потенциал для обеспечения безопасности. Предоставление разработчикам и инженерам по безопасности возможности обнаруживать и устранять уязвимости заблаговременно является ценным преимуществом. Однако, необходимы постоянные усилия для использования OAST в защите и снижения рисков, связанных с его злоумышленным использованием.
Indicators of Compromise
Domains
- dnipqouebm-psl.cn.oast-cn.byted-dast.com
- gbv6crrcecvsm77b41bxoih8wz2rqie7.oastify.com
- kc0262r8oypagq3e8f89uaqmodu4i16q.oastify.com
- oqvignkp58-psl.i18n.oast-row.byted-dast.com
- sbfwstspuutiarcjzptfenn9u0dsxhjlu.oast.fun