Tehdit aktörleri, kötü niyetli yüklere ev sahipliği yapmak ve Nisan 2025’te gözlemlenen bir kampanyanın bir parçası olarak Amadey aracılığıyla dağıtmak için kamu Github depolarından yararlanıyor.
“Maas [malware-as-a-service] Operatörler, muhtemelen web filtrelemesini ve kullanım kolaylığını atlama girişimi olarak yükleri, araçları ve amadey eklentilerini barındırmak için sahte GitHub hesapları kullandılar. “
Siber güvenlik şirketi, saldırı zincirlerinin, tehdit aktörleri tarafından işletilen kamu Github depolarından çeşitli özel yükleri indiren Amadey’i teslim etmek için Emmenhtal (diğer adıyla Peaklight) adlı bir kötü amaçlı yazılım yükleyiciden yararlandığını söyledi.
Etkinlik, Şubat 2025’te Emmenhtal üzerinden Smokeloader’ı Emmenhtal aracılığıyla Ukraynalı varlıkları hedefleyen saldırılarda dağıtmak için fatura ödemesi ve faturalandırma ile ilgili yemleri kullanan bir e-posta kimlik avı kampanyasıyla taktik benzerliklerini paylaşıyor.
Hem Emmenhtal hem de Amadey, bilgi samançıları gibi ikincil yükler için bir indirici olarak işlev görür, ancak ikincisi de geçmişte Lockbit 3.0 gibi fidye yazılımı sunarken gözlemlenmiştir.
İki kötü amaçlı yazılım ailesi arasındaki bir diğer önemli ayrım, Emmenhtal’ın aksine, Amadey’nin sistem bilgilerini toplayabilmesi ve kimlik bilgisi hırsızlığı veya ekran görüntüsü yakalama gibi belirli bir işlevselliği sağlayan bir dizi DLL eklentisi ile özellik açısından genişletilebilmesidir.
Cisco Talos’un Nisan 2025 kampanyası analizi, Lumma eklentileri, ikincil yükler ve Lumma Stealer, Redline Stealer ve Rhadamanthys Stealer dahil olmak üzere diğer kötü niyetli saldırı komut dosyalarını barındırmak için kullanılan üç GitHub hesabını (Legendary99999, DFFE9ewf ve MiliDMDS) ortaya çıkardı. Hesaplar o zamandan beri Github tarafından kaldırıldı.
GitHub depolarında bulunan JavaScript dosyalarının bazılarının, Smokeloader kampanyasında kullanılan Emmenthal komut dosyalarıyla aynı olduğu bulunmuştur, birincil fark indirilen yüklerdir. Özellikle, depolardaki Emmenhtal yükleyici dosyaları Amadey, Asyncrat ve Macty.exe’nin meşru bir kopyası için bir dağıtım vektörü görevi görür.
GitHub depolarında ayrıca, emmenhtal’in evrimini temsil eden ve AMADEY’yi sabit kodlu bir IP adresinden indirmek için gömülü bir PowerShell komutunu içeren bir Python komut dosyası bulunur.
Yükleri aşamalı olarak kullanılan GitHub hesaplarının, Microsoft’un kod barındırma platformunu kötü niyetli amaçlar için kötüye kullanan daha büyük bir MaaS operasyonunun bir parçası olduğuna inanılmaktadır.
Açıklama, Trellix’in Hong Kong’daki finansal hizmetler kurumlarına yönelik siber saldırılarda Squidloader olarak bilinen başka bir kötü amaçlı yazılım yükleyicisini yayan bir kimlik avı kampanyası ayrıntılı olarak geliyor. Güvenlik satıcısı tarafından ortaya çıkarılan ek eserler, Singapur ve Avustralya’da ilgili saldırıların devam edebileceğini öne sürüyor.
 |
| Kalamar yükleyici saldırı zinciri |
Squidloader, çeşitli anti-analiz, sandbox ve anti-debug teknikleri, algılamadan kaçınmasına ve araştırma çabalarını engellemesine izin veren müthiş bir tehdittir. Ayrıca, enfekte ana bilgisayar hakkında bilgi göndermek ve bir sonraki aşama yükü enjekte etmek için uzak bir sunucu ile iletişim kurabilir.
Güvenlik araştırmacısı Charles Crofford, “Squidloader, uzaktan erişim ve kontrol için bir kobalt grev işaretinin konuşlandırılmasıyla sonuçlanan bir saldırı zinciri kullanıyor.” Dedi. Diyerek şöyle devam etti: “Karmaşık anti-analizi, anti-sandbox ve anti-tahrip etme teknikleri, seyrek algılama oranları ile birleştiğinde, hedeflenen kuruluşlar için önemli bir tehdit oluşturuyor.”
Bulgular ayrıca çeşitli kötü amaçlı yazılım ailelerini dağıtmak için tasarlanmış çok çeşitli sosyal mühendislik kampanyalarının keşfini takip ediyor –
- UNC5952 olarak adlandırılan finansal olarak motive olmuş bir grup tarafından gerçekleştirilen saldırılar, chainverb adlı bir indiricinin dağıtımına yol açan kötü amaçlı damlalarda faturalarda fatura temalarından yararlanan, ConnectWise Screenconnect uzaktan erişim yazılımı sunan bir indiricinin dağıtımına yol açan saldırılar
- Bir PDF belgesini başlatma bahanesi altında, nihayetinde Connectwise Screenconnect yükleyicisi sunan bir bağlantıya tıklamak için alıcıları kandırmak için vergi ile ilgili tuzaklar kullanan saldırılar
- ABD Sosyal Güvenlik İdaresi (SSA) temalarını kullanıcı kimlik bilgilerini hasat etmek veya ConnectWise Screenconnect’in trojanize edilmiş sürümünü yüklemek için kullanan saldırılar, ardından kurbanlara Microsoft’un telefon bağlantısı uygulamasını, bağlı mobil cihaza metin mesajları ve iki faktörlü kimlik doğrulama kodlarını yüklemeleri ve senkronize etmesi talimatı veriliyor.
- Logokit adlı bir kimlik avı kitinden yararlanan saldırılar, görünüşe benzeyen giriş sayfaları oluşturarak ve Amazon Web Hizmetleri (AWS) altyapısında barındırarak, tespiti atlamak için aynı anda entegre bir şekilde entegre bir şekilde entegre bir şekilde entegre,
- Minimum teknik çaba ile kimlik bilgisi hırsızlığını kolaylaştırmak için başka bir özel python şişesi tabanlı kimlik avı kitinden yararlanan saldırılar
- PDF e -posta eklerinde QR kodlarını kullanan Kolej Saldırıları, kullanıcıları Microsoft Oturum Açma Portalını taklit eden kimlik bilgisi hasat sayfalarına yönlendirmeye yönlendiren
- Rhadamanthys Stealer ve Netsupport Rat’ı teslim etmek için ClickFix taktiğini kullanan saldırılar
- Hoax Tech ve JS gibi Servis Olarak Gizleme (CAAS) tekliflerini kullanan saldırılar, güvenlik tarayıcılarından kimlik avı ve kötü niyetli web sitelerini gizlemek için Cloaker’ı tıklayın ve sadece radarın altında uçmanın bir yolu olarak amaçlanan kurbanlara göstermek
- Kullanıcı şüphesini ve geleneksel algılama araçlarını atlayabilen kötü niyetli gerçekçi görünümlü e-postalar hazırlamak için HTML ve JavaScript’ten yararlanan saldırılar
- Kimlik avı e-postalarında ölçeklenebilir vektör grafikleri (SVG) görüntü dosyalarından yararlanan ve pencereyi kullanarak saldırgan kontrollü altyapıya yönlendirmeleri kolaylaştırmak için gizlenmiş JavaScript’i yerleştiren B2B servis sağlayıcılarını hedefleyen saldırılar.
COFENSE tarafından derlenen verilere göre, QR kodlarının kullanımı, 2024’te gelişmiş taktikler, teknikler ve prosedürler (TTPS) olan kampanyaların% 57’sini oluşturdu. Diğer dikkate değer yöntemler, e-postalarda Güvenli E-posta Ağ Geçitleri (SEG) için parola korumalı arşiv eklerinin kullanımı içerir.
CoFense araştırmacısı Max Gannon, “Arşivi şifreyi koruyarak, tehdit aktörleri SEG’lerin ve diğer yöntemlerin içeriğini taramasını ve genellikle açıkça kötü niyetli bir dosya olduğunu tespit etmesini önler.” Dedi.