Recorded Future 旗下威胁研究部门 Insikt Group 近日发布报告，称 2023 年越来越多的高级持续性威胁组织利用微软 GitHub，

　　2023 年 3 月至 11 月样本中被滥用的 GitHub 服务明细

　　报告指出，黑客一直钻 Windows 系统的空子，利用程序和可执行文件来获得初始访问权限，而现在这些黑客还能利用可信网站达到类似的目的。

　　Insikt 指出黑客利用 GitHub 可信网站发起攻击的几个原因：

　　鉴于 GitHub 在企业中的受欢迎程度以及许多企业依赖 GitHub 的事实，大多数企业网络都不会阻止 GitHub 域名。利用公开认可的 TLS 加密技术，简化了整个 C2 服务器的安装过程，从而降低了运行开销。鉴于 GitHub 在恶意活动之外的合法使用情况，恶意软件开发者对 GitHub 有着广泛的实际经验。通过节省典型的托管或注册费用，降低基础设施成本。正常运行时间长，因为 GitHub 采用冗余服务器和故障转移机制，具有高可用性。在 GitHub 上注册新账户只需最低限度的审查。服务提供商的检测可能性有限。当威胁行为者使用合法互联网服务时，向上游追踪威胁行为者或识别受害者就变得更具挑战性。更具体地说，如果追踪工作依赖于网络流量分析，那么遇到 LIS 就会成为一大障碍，使恶意流量与合法流量难以区分，从而导致调查工作陷入[*]胡同。用于威胁建模的工具有限，针对此类基础设施设置的可操作威胁情报很少。附上完整报告地址，感兴趣的用户可以深入阅读。