IT之家 1 月 12 日消息，Recorded Future 旗下威胁研究部门 Insikt Group 近日发布报告，称 2023 年越来越多的高级持续性威胁（APT）组织利用微软 GitHub，发起“受信任网站的生存”（living-of-trusted-sites）攻击。

　　2023 年 3 月至 11 月样本中被滥用的 GitHub 服务明细

　　报告指出，黑客一直钻 Windows 系统的空子，利用程序和可执行文件来获得初始访问权限，而现在这些黑客还能利用可信网站达到类似的目的。

　　Insikt 指出黑客利用 GitHub 可信网站发起攻击的几个原因：

　　鉴于 GitHub 在企业中的受欢迎程度以及许多企业依赖 GitHub 的事实，大多数企业网络都不会阻止 GitHub 域名。

　　利用公开认可的 TLS 加密技术，简化了整个 C2 服务器的安装过程，从而降低了运行开销。

　　鉴于 GitHub 在恶意活动之外的合法使用情况，恶意软件开发者对 GitHub 有着广泛的实际经验。

　　通过节省典型的托管或注册费用，降低基础设施成本。

　　正常运行时间长，因为 GitHub 采用冗余服务器和故障转移机制，具有高可用性。

　　在 GitHub 上注册新账户只需最低限度的审查（例如，注册时不要求提供信用卡，这对复杂的 APT 来说是极大的成本节约，因为创建无法追踪的融资和支付方式既费时又带来不必要的复杂性）。

　　服务提供商的检测可能性有限（尤其是人为控制的账户）。

　　当威胁行为者使用合法互联网服务（LIS）时，向上游追踪威胁行为者或识别受害者就变得更具挑战性。更具体地说，如果追踪工作依赖于网络流量分析，那么遇到 LIS 就会成为一大障碍，使恶意流量与合法流量难以区分，从而导致调查工作陷入死胡同。

　　用于威胁建模的工具有限，针对此类基础设施设置的可操作威胁情报很少。