SHELBY – Malware xác định sử dụng GitHub làm C2

Gia đình malware SHELBY đã được xác định là một phần mềm đánh cắp dữ liệu tinh vi, tận dụng hạ tầng của GitHub cho các hoạt động điều khiển và kiểm soát (C2). Dưới đây là các chi tiết chính về SHELBY:

Cơ chế lây nhiễm

1. Email lừa đảo: Quá trình lây nhiễm bắt đầu bằng các email lừa đảo chứa các tệp đính kèm hóa đơn có vẻ hợp lệ. Khi các tệp này được mở, chúng kích hoạt một macro độc hại, khởi phát chuỗi lây nhiễm.
2. JavaScript Dropper: Tải trọng ban đầu, SHELBYLOADER, sử dụng nhiều kỹ thuật phát hiện sandbox để tránh bị phân tích. Nó tạo ra một định danh duy nhất cho mỗi máy bị lây nhiễm và sử dụng định danh này để tạo một thư mục dành riêng trong repository GitHub. Tải trọng sau đó cố gắng lấy một khóa giải mã từ tệp được đặt tên License.txt trong thư mục này, khóa này được sử dụng để giải mã và tải SHELBYC2 vào bộ nhớ.

Các hoạt động Command-and-Control (C2)

1. C2 dựa trên GitHub: Backdoor SHELBYC2 thiết lập tính tồn tại trên hệ thống bị lây nhiễm và bắt đầu giao tiếp định kỳ với máy chủ C2 qua các cuộc gọi API GitHub. Nó có thể thực hiện một loạt các lệnh, bao gồm tải xuống và tải lên tệp, thực thi lệnh PowerShell, và khả năng tải thêm các nhị phân .NET một cách phản chiếu.
2. Token truy cập cá nhân (PAT): Malware sử dụng một Token truy cập cá nhân (PAT) cần thiết để truy cập repository GitHub, được nhúng bên trong nhị phân. Sự thiếu sót này có thể cho phép bất kỳ ai có được token kiểm soát các máy bị lây nhiễm hoặc truy cập dữ liệu của nạn nhân.

Exfiltration dữ liệu

1. Thu thập thông tin nhạy cảm: Một khi đã được cài đặt, SHELBY hoạt động lén lút trong nền, thu thập thông tin nhạy cảm bao gồm thông tin đăng nhập, dữ liệu tài chính, và hồ sơ bệnh nhân trước khi chuyển chúng đến các nhà vận hành.
2. Giao tiếp với C2: Malware tạo ra các yêu cầu HTTP để tương tác với GitHub, gửi các thông điệp commit và nội dung được mã hóa base64 đến repository. Nó thiết lập các tiêu đề HTTP cụ thể cho yêu cầu, bao gồm Accept, Content-Type, Authorization (sử dụng token PAT), và User-Agent.

Phát hiện và giảm thiểu

1. Tỷ lệ phát hiện thấp: Tính đến thời điểm viết, cả backdoor và loader đều có tỷ lệ phát hiện thấp trên VirusTotal, cho thấy rằng các cơ chế phát hiện truyền thống có thể không hiệu quả với phần mềm độc hại này.
2. Các biện pháp an ninh: Các tổ chức được khuyên nên giữ tinh thần cảnh giác và thực hiện các biện pháp an ninh vững chắc để phát hiện và giảm thiểu các mối đe dọa tinh vi như vậy. Điều này bao gồm việc đảm bảo tất cả các thiết bị công khai được cập nhật, thực hiện các kiểm soát mạnh mẽ và giám sát các danh tính bảo mật, và phòng ngừa sự xâm phạm thông tin xác thực bằng cách xây dựng lòng vệ sinh thông tin xác thực và thực hành nguyên tắc tối thiểu hóa quyền hạn.

Việc sử dụng GitHub cho các hoạt động C2 của malware SHELBY làm nổi bật một xu hướng ngày càng gia tăng của các tác nhân đe dọa sử dụng các nền tảng và dịch vụ đáng tin cậy để lưu trữ hạ tầng độc hại, khiến việc phát hiện trở nên thách thức hơn cho các công cụ bảo mật truyền thống.