水面下を飛ぶ:悪意のあるインフラストラクチャのためのGitHubの悪用

Insikt Groupの新しい調査では、サイバー犯罪者によるGitHubのサービスの頻繁な悪用と、さまざまな悪意のあるインフラストラクチャスキームに対する高度な持続的脅威(APT)について議論しています。 これらには、ペイロードの配信、デッドドロップ解決(DDR)、完全なコマンドアンドコントロール(C2)、および流出が含まれます。 GitHubが脅威アクターの間で人気があるのは、正当なネットワークトラフィックに紛れ込むことができるため、防御側にとって検出とアトリビューションを困難にしている点にあります。

「信頼できるサイトに基づく生活」(LOTS)アプローチは、APTの間で成長傾向として強調されており、あまり洗練されていないグループもこれに追随することが予想されます。 このテキストは、悪意のある使用が知られている特定のGitHubサービスにフラグを立てたりブロックしたりするための短期的な戦略を提唱しています。 長期的には、組織はGitHubやその他のコードリポジトリがどのように悪用されているかを理解するためにリソースを投資することが奨励され、より高度な検出メカニズムの開発につながります。

2023年3月から11月までのサンプル間で悪用されたGitHubサービスの内訳(出典:Recorded Future)

攻撃の増加が予想される中、この文章は、正規のインターネットサービス(LIS)が顧客に新たなサードパーティリスクベクトルをもたらすことを強調しています。 緩和戦略には、高度な検出方法、包括的な可視性、および多様な検出角度が必要になると予想されます。 不正使用と戦う責任は、構造変更と製品イノベーションを通じてLISに移り、ユーザーデータと使用状況データに対する独自の可視性を活用する可能性があります。

GitHubの悪用のための主要なインフラストラクチャスキームは詳細であり、ペイロード配信は実装が容易であるため、最も普及しています。 GitHubは、DDR、完全なC2(APTアクティビティにリンク)、および流出にも一般的に使用されますが、後者はあまり一般的ではありません。 GitHub サービスは、フィッシング操作のホストや、リポジトリポイズニング手法による感染ベクトルとして機能するなど、他のさまざまな悪意のある目的で悪用されています。

この調査では、GitHubの不正使用検知のための普遍的な解決策がないことを認めており、特定の環境、組織構造、リスク許容度に合わせた検知戦略を組み合わせる必要性を強調しています。 全体として、防御側はGitHubの不正使用に対抗するためにより多くのリソースを割り当てることが求められており、LISはポリシーの変更や技術革新を通じて問題に対処する上でより重要な役割を果たすことが期待されています。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。