Расследование связывает атаку на IoT-роутеры с компрометацией CI/CD-пайплайнов через один и тот же бэкдор

В течение трёх недель марта были скомпрометированы инструменты трёх вендоров: Xygeni (3 марта), Aqua Security (19 марта) и Checkmarx (23 марта). Во всех случаях злоумышленники использовали технику "отравления тегов" (tag poisoning) в репозиториях GitHub, чтобы подменить эталонные версии действий (Actions) вредоносными коммитами. Это позволяло автоматически внедрять зловредный код в CI/CD-пайплайны (непрерывную интеграцию и доставку) тысяч компаний, использующих эти инструменты для сканирования безопасности. Атаки на Aqua Security (продукт Trivy) и Checkmarx были публично связаны с группировкой TeamPCP (также известной как PCPcat), которая специализируется на создании крупномасштабной прокси-инфраструктуры за счёт скомпрометированных облачных сред. Однако инцидент с Xygeni оставался без чёткой атрибуции.

Именно в ходе расследования активности, казалось бы, другого рода, и была обнаружена эта связь. Исследователи из Ctrl-Alt-Intel, отслеживая угрозы, связанные с созданием резидентских прокси-сетей из взломанных IoT-устройств, наткнулись на неожиданное совпадение. Анализируя компрометацию роутеров TP-Link через эксплуатацию уязвимости CVE-2024-21833, они обнаружили на устройствах бэкдор, названный ShadowLink. Этот агент регистрировался на командном сервере (C2), опрашивал его на предмет команд, выполнял их и возвращал результаты. Ключевой находкой стал уникальный секрет аутентификации, передаваемый в HTTP-заголовке "X-B: sL5x#9kR!vQ2$mN7".

Каково же было удивление специалистов, когда идентичный протокол управления с тем же самым секретным ключом был обнаружен в техническом разборе атаки на Xygeni, опубликованном StepSecurity 9 марта. Вредоносный код, внедрённый в GitHub Action Xygeni, представлял собой точно такую же реализацию ShadowLink, лишь с другим адресом командного сервера. Это означает, что один и тот же оператор стоял как за созданием сети прокси из бытовых роутеров, так и за целевой атакой на цепочку поставок компании-разработчика средств безопасности. В своём отчёте исследователи детально описали эту связь, продемонстрировав таблицу с полным совпадением ключевых атрибутов протокола во всех наблюдаемых вариантах - от скриптов для TP-Link и ASUS до полезной нагрузки в GitHub Actions.

Это открытие ставит интересные вопросы об операционной модели современных киберпреступных групп. С одной стороны, компрометация роутеров для создания резидентских прокси-сетей - это тактика, которую также используют государственные группы, такие как APT28 (Fancy Bear), для сокрытия своей активности. Чистые IP-адреса домашних сетей позволяют обходить блокировки и ограничения. С другой стороны, атака на цепочку поставок инструментов безопасности преследует иные цели - закрепление в корпоративных средах и краж чувствительных данных, включая секреты CI/CD. Объединяет же эти активности общая инфраструктура управления и одинаковый инструментарий, что свидетельствует о диверсификации одним оператором своих методов для достижения различных целей.

Что касается связи с группировкой TeamPCP, то здесь у исследователей нет однозначных доказательств. Хронологически атака на Xygeni произошла раньше и, возможно, вдохновила TeamPCP на их собственные кампании против Trivy и Checkmarx, использовавшие схожую технику. Имеются некоторые косвенные пересечения, например, использование одних и тех же провайдеров хостинга (AWS) для командных серверов. Однако ключевые индикаторы компрометации (IOC) и архитектура C2-инфраструктуры различаются. Более того, TeamPCP для построения прокси-сетей использовала другие инструменты - GOST и FRP, а не microsocks, как в случае с TP-Link. Тем не менее, стратегический фокус на создание прокси-инфраструктуры и выбор мишеней из одного сектора (вендоры AppSec) заставляет задуматься о возможных связях или общих источниках вдохновения.

Данное расследование наглядно демонстрирует, как, углубляясь в, казалось бы, узкоспециализированную угрозу (злоупотребление IoT-устройствами), можно выйти на след более сложных и опасных операций, таких как атаки на цепочки поставок. Для специалистов по защите это служит напоминанием о необходимости комплексного мониторинга. Контроль целостности зависимостей в CI/CD, строгий аудит действий с тегами в репозиториях, а также регулярное обновление прошивок сетевого оборудования и их защита от внешнего доступа - всё это критически важные меры в современной связанной угрозной среде. История с ShadowLink показывает, что граница между киберпреступностью, нацеленной на бытовые устройства, и сложными целевыми атаками может быть гораздо тоньше, чем принято считать.

IPv4

• 108.129.153.172
• 67.217.57.240
• 91.214.78.178

Domains

• security-verify.91.214.78.178.nip.io

SHA256

• 80729e37f797da2b5a177867306318626e52b675f44fa441c256d139e88f69df
• 9984e2b8fa6401f84f76e38e3b97888a4df25dc8cdf28981d088515d03a72037
• ed8f066f4539feb19f59e74b4429ece7469e5ef088b7f4aaef0fc2bf226ae5f0