Gitlocker Phishing-angreb
I det udviklende landskab af cybersikkerhedstrusler er en ny Gitlocker-angrebskampagne dukket op, rettet mod GitHub-lagre. Denne operation involverer ondsindede aktører, der kompromitterer konti, sletter lagerindhold og kræver, at ofre kontakter dem via Telegram for yderligere instruktioner. Denne artikel dykker ned i detaljerne i denne kampagne, dens modus operandi og anbefalede sikkerhedsforanstaltninger for at beskytte mod sådanne angreb.
Indholdsfortegnelse
Attack Modus Operandi
Angribere i Gitlocker-kampagnen er specifikt rettet mod GitHub-depoter. Når de får adgang til et lager, fortsætter de med at slette indholdet. Angriberne omdøber derefter depotet og efterlader en README.me-fil med en løsesum, der instruerer ofrene om at kontakte dem på Telegram.
Stjålne legitimationsoplysninger
Trusselsaktøren bag denne kampagne, der opererer under håndtaget Gitloker på Telegram, ser ud til at få adgang til GitHub-konti ved hjælp af stjålne legitimationsoplysninger. De udgiver sig som cyberhændelsesanalytiker og hævder at have sikkerhedskopieret de kompromitterede data og tilbyder at hjælpe med at gendanne dem. Den fulde tekst af løsesumsedlen lyder:
'Jeg håber, at denne besked finder dig godt. Dette er en hastemeddelelse for at informere dig om, at dine data er blevet kompromitteret, og vi har sikret en sikkerhedskopi.'
Svar og anbefalinger
Efter tidligere angreb har GitHub rådet brugere til at ændre deres adgangskoder for at sikre deres konti mod uautoriseret adgang. Denne handling er afgørende for at forhindre ondsindede aktiviteter såsom tilføjelse af nye SSH-nøgler, godkendelse af nye apps eller ændring af teammedlemmer.
Forbedrede sikkerhedsforanstaltninger
For at forhindre yderligere kompromiser og opdage mistænkelige aktiviteter opfordres brugerne til at implementere følgende sikkerhedsforanstaltninger:
- Aktiver to-faktor-godkendelse (2FA) : Tilføjelse af et ekstra lag af sikkerhed til login-processen.
- Tilføj en adgangsnøgle : For et sikkert login uden adgangskode.
- Gennemgå og tilbagekald uautoriseret adgang : Kontroller og administrer regelmæssigt SSH-nøgler, implementer nøgler og autoriserede integrationer.
- Bekræft e-mail-adresser : Sørg for, at alle tilknyttede e-mailadresser er korrekte og sikre.
- Gennemgå kontosikkerhedslogfiler : Spor ændringer i lageret for at identificere eventuelle uautoriserede ændringer.
- Administrer webhooks : Revidér og administrer regelmæssigt webhooks på repositories.
Historisk kontekst af GitHub-kompromiser
Gitlocker-angrebet er ikke en isoleret hændelse. GitHub-konti er tidligere blevet målrettet og kompromitteret, hvilket har ført til betydelige databrud.
Marts 2020 Microsoft Breach : Hackere kompromitterede Microsofts konto og stjal over 500 GB filer fra private arkiver. Mens de stjålne data hovedsageligt bestod af kodeprøver og testprojekter, var der bekymringer omkring eksponeringen af private API-nøgler og adgangskoder. Trusselsskuespilleren ShinyHunters lækkede til sidst dataene gratis efter først at have planlagt at sælge dem.
September 2020 Phishing-kampagne : GitHub-brugere blev målrettet i en phishing-kampagne, der involverede falske CircleCI-meddelelser. Angribere havde til formål at stjæle GitHub-legitimationsoplysninger og 2FA-koder via omvendte proxyer. Efter at have kompromitteret konti, eksfiltrerede de data og tilføjede nye brugerkonti for at opretholde vedvarende adgang.
Konklusion
Gitlocker Phishing-angrebet understreger den vedvarende trussel mod online-lagre og vigtigheden af robust sikkerhedspraksis. Ved at implementere anbefalede sikkerhedsforanstaltninger og forblive på vagt, kan brugere bedre beskytte deres GitHub-konti mod uautoriseret adgang og potentielt datatab. I takt med at cybertrusler fortsætter med at udvikle sig, er det vigtigt at opretholde en proaktiv tilgang til sikkerhed for at beskytte værdifulde digitale aktiver.