Vn-Z.vn Ngày 12 tháng 01 năm 2024, Theo báo cáo từ Insikt Group, bộ phận nghiên cứu mối đe dọa của Recorded Future, cho biết rằng vào năm 2023, ngày càng nhiều tổ chức các cuộc tấn công có chủ đích (APT) tiên tiến hơn sẽ sử dụng Microsoft GitHub để bắt đầu các cuộc tấn công mà Inskt Group gọi là living-of-trusted-sites .
Breakdown of abused GitHub services among samples from March to November 2023 (Source: Recorded Future)
Báo cáo chỉ ra rằng, hacker đã liên tục khai thác lỗ hổng trong hệ điều hành Windows, sử dụng các chương trình và tệp thực thi để đạt được quyền truy cập ban đầu. Hiện nay, những hacker này còn có khả năng sử dụng các trang web đáng tin cậy để đạt được mục tiêu tương tự.
Insikt nhấn mạnh một số lý do mà hacker sử dụng GitHub để tiến hành các cuộc tấn công:
1. Sự phổ biến của GitHub trong doanh nghiệp và sự phụ thuộc của các doanh nghiệp vào nó: Hầu hết các mạng doanh nghiệp không chặn tên miền của GitHub do sự phổ biến của nó và sự phụ thuộc của nhiều doanh nghiệp vào dịch vụ này.
2. Sử dụng công nghệ mã hóa TLS được công nhận công khai: Điều này giúp đơn giản hóa quá trình cài đặt máy chủ điều khiển và giảm chi phí vận hành.
3. GitHub được sử dụng không chỉ cho mục đích xấu mà còn cho mục đích hợp pháp: Nhà phát triển phần mềm độc hại thường có nhiều kinh nghiệm thực tế với GitHub, vì nó cũng được sử dụng rộng rãi cho các mục đích hợp pháp.
4. Giảm chi phí cơ sở hạ tầng: Việc tiết kiệm chi phí đăng ký hoặc lưu trữ giúp giảm thiểu chi phí cơ sở hạ tầng.
5. Thời gian hoạt động bình thường dài: GitHub sử dụng máy chủ dự phòng và cơ chế chuyển giao lỗi, do đó có khả năng sẵn có cao.
6. Yêu cầu kiểm tra thấp khi đăng ký tài khoản mới trên GitHub: Điều này giúp tiết kiệm chi phí đối với những tổ chức thách thức như các nhóm APT phức tạp, vì việc tạo phương tiện tài chính và thanh toán không thể theo dõi là một quá trình tốn kém và phức tạp.
7. Khả năng giảm thiểu của các nhà cung cấp dịch vụ đối với việc phát hiện: Đặc biệt là đối với các tài khoản được kiểm soát bởi con người, khả năng phát hiện của nhà cung cấp dịch vụ có hạn.
8. Khó khăn trong việc theo dõi khi sử dụng Dịch vụ Internet Hợp pháp (LIS):Khi những kẻ tấn công sử dụng LIS, việc theo dõi lên tới nguồn hoặc xác định nạn nhân trở nên khó khăn hơn, đặt ra thách thức trong việc phân biệt giữa luồng lưu lượng độc hại và luồng lưu lượng hợp pháp.
9. Giới hạn công cụ mô hình hóa mối đe dọa:Công cụ để mô hình hóa mối đe dọa đối với cơ sở hạ tầng như vậy có hạn, dẫn đến việc ít thông tin tình báo hữu ích được thiết lập.
Bạn đọc có thể đọc báo cáo chi tiết tại đây
www.recordedfuture.com
Breakdown of abused GitHub services among samples from March to November 2023 (Source: Recorded Future)
Báo cáo chỉ ra rằng, hacker đã liên tục khai thác lỗ hổng trong hệ điều hành Windows, sử dụng các chương trình và tệp thực thi để đạt được quyền truy cập ban đầu. Hiện nay, những hacker này còn có khả năng sử dụng các trang web đáng tin cậy để đạt được mục tiêu tương tự.
Insikt nhấn mạnh một số lý do mà hacker sử dụng GitHub để tiến hành các cuộc tấn công:
1. Sự phổ biến của GitHub trong doanh nghiệp và sự phụ thuộc của các doanh nghiệp vào nó: Hầu hết các mạng doanh nghiệp không chặn tên miền của GitHub do sự phổ biến của nó và sự phụ thuộc của nhiều doanh nghiệp vào dịch vụ này.
2. Sử dụng công nghệ mã hóa TLS được công nhận công khai: Điều này giúp đơn giản hóa quá trình cài đặt máy chủ điều khiển và giảm chi phí vận hành.
3. GitHub được sử dụng không chỉ cho mục đích xấu mà còn cho mục đích hợp pháp: Nhà phát triển phần mềm độc hại thường có nhiều kinh nghiệm thực tế với GitHub, vì nó cũng được sử dụng rộng rãi cho các mục đích hợp pháp.
4. Giảm chi phí cơ sở hạ tầng: Việc tiết kiệm chi phí đăng ký hoặc lưu trữ giúp giảm thiểu chi phí cơ sở hạ tầng.
5. Thời gian hoạt động bình thường dài: GitHub sử dụng máy chủ dự phòng và cơ chế chuyển giao lỗi, do đó có khả năng sẵn có cao.
6. Yêu cầu kiểm tra thấp khi đăng ký tài khoản mới trên GitHub: Điều này giúp tiết kiệm chi phí đối với những tổ chức thách thức như các nhóm APT phức tạp, vì việc tạo phương tiện tài chính và thanh toán không thể theo dõi là một quá trình tốn kém và phức tạp.
7. Khả năng giảm thiểu của các nhà cung cấp dịch vụ đối với việc phát hiện: Đặc biệt là đối với các tài khoản được kiểm soát bởi con người, khả năng phát hiện của nhà cung cấp dịch vụ có hạn.
8. Khó khăn trong việc theo dõi khi sử dụng Dịch vụ Internet Hợp pháp (LIS):Khi những kẻ tấn công sử dụng LIS, việc theo dõi lên tới nguồn hoặc xác định nạn nhân trở nên khó khăn hơn, đặt ra thách thức trong việc phân biệt giữa luồng lưu lượng độc hại và luồng lưu lượng hợp pháp.
9. Giới hạn công cụ mô hình hóa mối đe dọa:Công cụ để mô hình hóa mối đe dọa đối với cơ sở hạ tầng như vậy có hạn, dẫn đến việc ít thông tin tình báo hữu ích được thiết lập.
Bạn đọc có thể đọc báo cáo chi tiết tại đây
Flying Under the Radar: Abusing GitHub for Malicious Infrastructure | Recorded Future
Discover how GitHub is increasingly exploited for cyberattacks in our latest report.
