Grant Cardone
Carder
- Messages
- 41
- Reaction score
- 3
- Points
- 8
76 аккаунтов, сотни репозиториев и почти ни одной жалобы. Кто стоит за кампанией Water Curse?
Исследователи Trend Micro выявили новую киберугрозу — группу Water Curse, которая с марта 2023 года проводит масштабную скрытную операцию по распространению вредоносного ПО через фальшивые open source-проекты на GitHub. В рамках кампании использовались не менее 76 аккаунтов и сотни репозиториев, внешне имитирующих легитимные утилиты для пентестинга.
На деле в проектах скрывались трояны вроде Sakura RAT, SMTP-спамеры и инструменты для шпионажа. Заражение запускалось через Visual Studio с цепочкой вредоносных скриптов на VBS и PowerShell, зашифрованные архивы и приложения на Electron. Атаки сопровождались антиотладкой, повышением привилегий и сбором информации о системе.
Water Curse активно похищает сессионные токены, учётные данные и содержимое браузеров. Для передачи данных используются Telegram и публичные файлообменники. В арсенале — генераторы спама, вредоносные читы, криптоинструменты и сборщики OSINT.
Атаки замаскированы под обычную DevOps-активность, что делает их почти незаметными. Помимо Water Curse, Trend Micro также описывает другие группы, применяющие схожую тактику, включая AsyncRAT, DeerStealer и SectopRAT, которые используют Cloudflare Tunnels для обхода периметровой защиты.
Эти методы демонстрируют новый уровень интеграции вредоносной активности в привычную цифровую инфраструктуру, где инструменты вроде GitHub, OneDrive или Cloudflare превращаются в средства доставки вредоносов.
Исследователи Trend Micro выявили новую киберугрозу — группу Water Curse, которая с марта 2023 года проводит масштабную скрытную операцию по распространению вредоносного ПО через фальшивые open source-проекты на GitHub. В рамках кампании использовались не менее 76 аккаунтов и сотни репозиториев, внешне имитирующих легитимные утилиты для пентестинга.
На деле в проектах скрывались трояны вроде Sakura RAT, SMTP-спамеры и инструменты для шпионажа. Заражение запускалось через Visual Studio с цепочкой вредоносных скриптов на VBS и PowerShell, зашифрованные архивы и приложения на Electron. Атаки сопровождались антиотладкой, повышением привилегий и сбором информации о системе.
Water Curse активно похищает сессионные токены, учётные данные и содержимое браузеров. Для передачи данных используются Telegram и публичные файлообменники. В арсенале — генераторы спама, вредоносные читы, криптоинструменты и сборщики OSINT.
Атаки замаскированы под обычную DevOps-активность, что делает их почти незаметными. Помимо Water Curse, Trend Micro также описывает другие группы, применяющие схожую тактику, включая AsyncRAT, DeerStealer и SectopRAT, которые используют Cloudflare Tunnels для обхода периметровой защиты.
Эти методы демонстрируют новый уровень интеграции вредоносной активности в привычную цифровую инфраструктуру, где инструменты вроде GitHub, OneDrive или Cloudflare превращаются в средства доставки вредоносов.