390.000 akun WordPress dicuri peretas menggunakan supply chain attack

390.000 akun WordPress dicuri peretas menggunakan supply chain attack

Aktor ancaman yang dilacak sebagai MUT-1244 telah mencuri lebih dari 390.000 kredensial WordPress dalam kampanye skala besar selama setahun yang menargetkan pelaku ancaman lain menggunakan pemeriksa kredensial WordPress yang di-trojan.

Para peneliti di Datadog Security Labs, yang melihat serangan tersebut, mengatakan bahwa kunci privat SSH dan kunci akses AWS juga dicuri dari sistem yang disusupi dari ratusan korban lainnya, yang diyakini termasuk red teamer, penguji penetrasi, peneliti keamanan, serta aktor jahat.

Para korban terinfeksi menggunakan muatan tahap kedua yang sama yang didorong melalui lusinan repositori GitHub trojanized yang memberikan eksploitasi proof-of-concept (PoC) berbahaya yang menargetkan kelemahan keamanan yang diketahui, bersama dengan kampanye phishing yang mendorong target untuk menginstal peningkatan kernel palsu yang disamarkan sebagai pembaruan kode mikro CPU.

Sementara email phishing menipu korban untuk menjalankan perintah yang menginstal malware, repositori palsu menipu profesional keamanan dan pelaku ancaman yang mencari kode eksploitasi untuk kerentanan tertentu.

Pelaku ancaman telah menggunakan eksploitasi bukti konsep palsu di masa lalu untuk menargetkan peneliti, berharap untuk mencuri penelitian yang berharga atau mendapatkan akses ke jaringan perusahaan keamanan siber.