Ghost Accounts Abuse GitHub API in Mass Recon Campaign
Cyberkriminelle missbrauchen Geisterkonten und die GitHub-API für massenhafte Aufklärungsarbeit. Sie kartieren GitHub-Organisationen, inklusive Repositories und Mitglieder. Betroffene Organisationen sollten ihre GitHub-Aktivitäten genau überwachen und verdächtige Zugriffe umgehend untersuchen.
Cyberkriminelle nutzen sogenannte „Geisterkonten“ und die GitHub-API, um massenhafte Aufklärungskampagnen durchzuführen. Ziel ist die Kartierung von GitHub-Organisationen, einschließlich deren Repositories und Mitglieder. Organisationen sollten ihre GitHub-Aktivitäten genau überwachen und verdächtige Zugriffe umgehend untersuchen.
Organisationen, die GitHub nutzen und deren Daten über die GitHub-API zugänglich sind.
Diese Kampagnen ermöglichen Angreifern, detaillierte Informationen über die Struktur, Projekte und Mitarbeiter einer Organisation zu sammeln, was als Vorbereitung für gezieltere Angriffe dienen kann.
Die gesammelten Informationen könnten für Phishing-Angriffe, Social Engineering oder die Identifizierung von Schwachstellen in öffentlichen Repositories missbraucht werden, um Zugang zu internen Systemen zu erlangen.
Überprüfen Sie den API-Zugriff auf GitHub, überwachen Sie ungewöhnliche Aktivitäten und untersuchen Sie verdächtige Zugriffe auf GitHub-Ressourcen.
- ▸Überprüfen Sie die Audit-Logs Ihrer GitHub-Organisation auf ungewöhnliche oder übermäßige API-Anfragen von unbekannten Konten.
- ▸Stellen Sie sicher, dass die Berechtigungen für GitHub-API-Tokens auf das absolut Notwendigste beschränkt sind (Least Privilege).
- ▸Überprüfen Sie regelmäßig die Mitglieder Ihrer GitHub-Organisation und entfernen Sie inaktive oder unbekannte Konten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Reconnaissance | T1592 Gather Victim Org Information | High | Sie kartieren GitHub-Organisationen, inklusive Repositories und Mitglieder. |
| Reconnaissance | T1598 Phishing for Information | Low | nicht im Artikel spezifiziert, aber eine mögliche Folge der gesammelten Informationen |
- Die genaue Methode, wie die „Geisterkonten“ erstellt oder missbraucht werden, ist nicht spezifiziert.
- Es wird nicht erwähnt, welche spezifischen Daten über die GitHub-API abgefragt werden, außer Repositories und Mitglieder.
- Es gibt keine Informationen über die Herkunft oder die Identität der Bedrohungsakteure.