Site icon Kiber.ba

Hakeri koriste GitHub repozitorije za hostovanje Amadey malicioznih softvera i kradljivaca podataka, zaobilazeći filtere

Hakeri koriste GitHub repozitorije za hostovanje Amadey malicioznih softvera i kradljivaca podataka, zaobilazeći filtere-Kiber.ba

Hakeri koriste GitHub repozitorije za hostovanje Amadey malicioznih softvera i kradljivaca podataka, zaobilazeći filtere-Kiber.ba

Hakeri koriste javne GitHub repozitorije za hostovanje malicioznih sadržaja i njihovu distribuciju putem Amadeya kao dio kampanje koja je uočena u aprilu 2025. godine.

„Operateri MaaS-a [malware-as-a-service] koristili su lažne GitHub račune za hostovanje korisnih podataka, alata i Amadey dodataka, vjerovatno u pokušaju da zaobiđu web filtriranje i radi lakšeg korištenja“, rekli su istraživači Cisco Talosa Chris Neal i Craig Jackson u izvještaju objavljenom danas.

Kompanija za sajber sigurnost saopštila je da lanci napada koriste program za učitavanje malicioznih softvera pod nazivom Emmenhtal (poznat i kao PEAKLIGHT) za isporuku Amadeya, koji, sa svoje strane, preuzima različite prilagođene korisne podatke iz javnih GitHub repozitorija kojima upravljaju akteri prijetnje.

Aktivnost dijeli taktičke sličnosti s kampanjom phishinga putem e-pošte koja je koristila mamce za plaćanje faktura i naplatu kako bi distrubuisali SmokeLoader putem Emmenhtala u februaru 2025. godine u napadima usmjerenim na ukrajinske subjekte.

I Emmenhtal i Amadey funkcionišu kao programi za preuzimanje sekundarnih podataka poput kradljivaca informacija, iako je i ovaj drugi u prošlosti primijećen kako isporučuje ransomware poput LockBit 3.0.

Još jedna ključna razlika između dvije porodice zlonamjernog softvera je ta što, za razliku od Emmenhtala, Amadey može prikupljati sistemske informacije i može se proširiti nizom DLL dodataka koji omogućavaju određenu funkcionalnost, poput krađe podataka ili snimanja ekrana.

Analiza kampanje iz aprila 2025. koju je proveo Cisco Talos otkrila je tri GitHub računa (Legendary99999, DFfe9ewf i Milidmdds) koja se koriste za hostiranje Amadey dodataka, sekundarnih korisnih sadržaja i drugih zlonamjernih skripti za napad, uključujući Lumma Stealer, RedLine Stealer i Rhadamanthys Stealer. GitHub je od tada ukinuo te račune.

Utvrđeno je da su neke od JavaScript datoteka prisutnih u GitHub repozitorijima identične Emmenthal skriptama korištenim u SmokeLoader kampanji, a glavna razlika je u preuzetim korisnim podacima. Konkretno, Emmenthal datoteke za učitavanje u repozitorijima služe kao vektor isporuke za Amadey, AsyncRAT i legitimnu kopiju PuTTY.exe.

U GitHub repozitorijima je također otkriven Python skript koji vjerovatno predstavlja evoluciju Emmenhtala, uključujući ugrađenu PowerShell naredbu za preuzimanje Amadeya s fiksno kodirane IP adrese.

Vjeruje se da su GitHub računi korišteni za postavljanje korisnih tereta dio veće MaaS operacije koja zloupotrebljava Microsoftovu platformu za hosting koda u zlonamjerne svrhe.

Ovo otkriće dolazi nakon što je Trellix detaljno opisao phishing kampanju koja širi još jedan zlonamjerni program poznat kao SquidLoader u cyber napadima usmjerenim protiv institucija finansijskih usluga u Hong Kongu. Dodatni artefakti koje je otkrio dobavljač sigurnosnih proizvoda sugeriraju da bi slični napadi mogli biti u toku u Singapuru i Australiji.

SquidLoader je ozbiljna prijetnja zbog raznolikog niza tehnika protiv analize, sandboxa i debugiranja koje sadrži, što mu omogućava da izbjegne otkrivanje i ometa istragu. Također može uspostaviti komunikaciju s udaljenim serverom kako bi slao informacije o zaraženom hostu i ubrizgavao sljedeće korake.

„SquidLoader koristi lanac napada koji kulminira postavljanjem Cobalt Strike beacon-a za udaljeni pristup i kontrolu“, rekao je istraživač sigurnosti Charles Crofford . „Njegove složene tehnike anti-analize, anti-sandbox-a i anti-debugging-a, zajedno sa rijetkim stopama detekcije, predstavljaju značajnu prijetnju ciljanim organizacijama.“

Ovi nalazi takođe slijede otkriće širokog spektra kampanja socijalnog inženjeringa koje su osmišljene za distribuciju različitih porodica malicioznog softvera –

Prema podacima koje je prikupio Cofense, upotreba QR kodova činila je 57% kampanja s naprednim taktikama, tehnikama i procedurama (TTP) u 2024. godini. Druge značajne metode uključuju korištenje arhivskih priloga zaštićenih lozinkom u e-porukama kako bi se zaobišli sigurni email gateway-i (SEG).

„Zaštitom arhive lozinkom, akteri prijetnji sprječavaju SEG-ove i druge metode da skeniraju njen sadržaj i otkriju ono što je obično očito zlonamjerna datoteka“, rekao je istraživač Cofensea Max Gannon .

Izvor:The Hacker News

Exit mobile version