HackerNews 编译,转载请注明出处:
一种新型复杂网络威胁已出现,攻击者通过被攻陷的镜像网站与 GitHub 仓库,针对多操作系统用户发动攻击。
RU-APT-ChainReaver-L 攻击活动是近期发现的最精密供应链攻击之一,同时波及 Windows、macOS 与 iOS 平台。
该攻击活动运用多项先进技术,包括使用有效证书进行代码签名、欺骗性重定向链,以及通过合法云服务分发恶意软件,导致传统安全系统极难检测。
此次攻击的基础设施具备惊人的规模与复杂度。攻击者攻陷了两大主流文件共享镜像服务 Mirrored.to 与Mirrorace.org,二者被全球各类软件下载网站广泛使用。
通过向这些平台注入恶意代码,威胁行为者将受信任的基础设施转化为信息窃密恶意软件的投放渠道。
用户通过这些被攻陷的服务下载文件时,会经过多层中间页面重定向,此类设计可绕过安全检测,同时保持外观合法。
GRAPH 分析师在调查暗网市场中大量流出的用户凭据时,发现了该攻击活动。
研究团队将这些被盗账号溯源至一场已持续数月的协同式感染行动。
借助扩展检测与响应(XDR)平台与威胁狩猎行动,GRAPH 研究人员发现了涵盖超 100 个域名的攻击基础设施,包括命令与控制服务器、感染页面与重定向中介。
攻击运营者持续更新工具与基础设施,短时间内修改恶意软件特征码与投放方式,以规避杀毒软件检测。
攻击方式会根据受害者的操作系统有所不同。Windows 用户会被重定向至 MediaFire、Dropbox 等云存储服务,加密压缩包内包含带签名的恶意软件,可在安全软件面前伪装成合法程序。
macOS 受害者会遭遇 ClickFix 攻击,欺骗性页面诱骗用户手动执行终端命令,下载并安装 MacSync 窃密木马。
iOS 用户会被引导至苹果应用商店的虚假 VPN 应用,这些应用后续会对设备发起钓鱼攻击。
GitHub 滥用与恶意软件功能
该攻击对 GitHub 的利用,体现出攻击者对安全团队防御盲区的精准把握。
GRAPH 研究人员指出,攻击者攻陷了 50 个 GitHub 账号,其中多数为多年注册、有正常使用记录的账号,并用其托管恶意仓库。
这些账号大多在 2025 年 11 月被劫持,被用于分发破解软件与激活工具,专门针对搜索盗版软件的用户。
攻击流程(来源:GRAPH)
Windows 端恶意软件为信息窃密程序,可截取屏幕、窃取加密货币钱包数据、聊天软件数据库、浏览器凭据,并复制桌面、文档、下载文件夹中的文件。
GRAPH 分析师指出,样本搭载来自多家企业的有效代码签名证书,大幅增加了检测难度。
MIRRORACE.org 供应链攻击(来源:GRAPH)
macOS 版 MacSync 窃密木马采用无文件内存运行模式,可窃取浏览器数据、Ledger 与 Trezor 等加密货币钱包、SSH 密钥及 AWS 云凭证。
机构应部署全面的防御策略。攻击依托社会工程学实施,因此用户安全教育是最关键的防御环节。
安全团队应部署多层终端防护,包括可检测异常进程行为与可疑文件访问模式的 EDR 系统。
网络监控应重点关注与文件共享服务、新注册域名的连接。
机构应限制用户系统直接访问互联网,将下载流量引流至具备静态分析、动态分析与机器学习能力的文件分析平台。
消息来源:cybersecuritynews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文