Исследовательская группа Socket по изучению угроз представила новый отчет, который освещает актуальные инциденты, связанные с использованием вредоносных действий в пакетах JavaScript, Python и Ruby. Группа сообщает, что инструменты, изначально предназначенные для этического хакерства, стали мишенью для злоумышленников, способных извлекать конфиденциальные данные и проводить многоэтапные атаки.
Как работают инструменты OAST?
Сервисы внешнего тестирования безопасности приложений (OAST), такие как oastify.com и oast.fun, изначально разрабатывались для оценки этической безопасности. Однако, как показано в исследовании, они теперь используются для выполнения следующих действий:
- Извлечение конфиденциальных данных;
- Создание каналов командования и контроля;
- Проведение многоэтапных атак.
Наиболее популярные инструменты OAST, такие как burpcollaborator.net, предоставляемые PortSwigger, и interact.sh от Project Discovery, используются злоумышленниками для выполнения DNS и HTTP запросов, выходящих за пределы стандартных методов тестирования безопасности.
Пример вредоносного ПО: пакет «monoliht»
Одним из заметных примеров является вредоносный пакет с именем «monoliht», который был создан хакером для имитации законной библиотеки «monolith». Главное внимание в этом скрипте уделяется использованию доменов для скрытого сбора метаданных, включающих:
- Имя хоста;
- Имя пользователя;
- Текущий рабочий каталог жертвы.
Анализ этого пакета с использованием Socket AI Scanner выявил детали кода, что позволило глубже понять тактику злоумышленников. Так, использование нескольких доменов для фильтрации данных повышает устойчивость атаки и способствует обходу защитных мер.
Методы атаки и эксфильтрация данных
Хакеры применяют различные методы для достижения своих целей, включая:
- Компрометацию цепочки поставок;
- Маскировку под законные объекты;
- Запутывание файлов и запуск по событию;
- Эксфильтрацию данных через веб-службы;
- Использование альтернативных протоколов.
Кроме того, они анализируют информацию о системе жертвы, собирая данные о сети, файлах и каталоге, а также используют интерпретаторы сценариев, такие как JavaScript, PowerShell и Unix shell.
Выводы и рекомендации
Исследование Socket подчеркивает нарастающую угрозу, исходящую от злоумышленников, использующих инструменты OAST. Это требует от специалистов по кибербезопасности проявлять особую бдительность и проактивность в выявлении и противодействии новым тактикам атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Хакеры используют OAST для атак: угроза ресурсам безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.