Uygulama güvenliği, siber suç, sahtekarlık yönetimi ve siber suç
Bilgisayar korsanları, sahte Github hesaplarından yükleri düşürmek için madey bot kullanıyor
Prajeet Nair (@prajeaetspeaks) •
18 Temmuz 2025
Tehdit aktörleri, Cisco Talos’un bildirdiğine göre, Tehdit Oyuncuları Amadey Botnet aracılığıyla kötü amaçlı yazılımları barındırmak ve dağıtmak için kullanıyor.
Ayrıca bakınız: Siber Güvenlik Araştırmasında AI Durumu: Akranlarınız Genai Hakkında Nasıl Düşünüyor
Nisan ayında gözlemlenen kampanya, Perşembe günü yayınlanan bir raporda Cisco Talos, “Web filtreleme ve kullanım kolaylığı için muhtemelen operatörleri ve Github’ın meşru trafik kalıplarından yararlanmak ve GitHub’ın meşru trafik kalıplarından yararlanmak için sahte GitHub hesaplarının nasıl kullanıldığını ortaya koyuyor.
Talos araştırmacıları Chris Neal ve Craig Jackson, operasyonun 2025 başından itibaren Smokeloader kötü amaçlı yazılımları Ukrayna organizasyonlarına karşı konuşlandıran daha önce tanımlanmış bir kimlik avı kampanyasıyla örtüştüğünü söyledi. Orijinal kampanya, Smokeloader’ı dağıtmak için fatura temalı kimlik avı e-postaları ve JavaScript tabanlı yükleyicileri kullanırken, yeni etkinlik, daha sonra Github repositors’tan çeşitli kötü amaçlı yazılım yükleri getiren benzer bir çok aşamalı yükleyici Emmenhtal kullanıyor.
Peaklight olarak da adlandırılan Emmenhtal, son yükler sunmak için gizlenmiş JavaScript ve PowerShell komut dosyaları katmanlarını kullanır. Bu kampanyada, bu yükler arasında farklı müşteriler için çeşitli kötü amaçlı yazılım ailelerinin dağıtıldığı bir MaaS modelini gösteren Amadey, Asyncrat, Putty ve diğer araçlar yer alıyor. Talos araştırmacıları ayrıca MP4 dosyaları olarak gizlenen Emmenhtal varyantları tespit ederek tespitten daha da kaçındılar.
Üç sahte GitHub hesabı, “Legendary99999,” “DFFE9EWF” ve “Milidmdds” birincil dağıtım noktaları olarak hizmet etti. “Legendary99999”, özellikle, her biri GitHub’ın “sürümler” bölümü aracılığıyla erişilebilen benzersiz yüklere sahip 160’dan fazla depo barındırdı. Bu yükler, Lumma ve Redline gibi emtia infosterers’larından potansiyel olarak sömürme sonrası etkinlik için kullanılan macty.exe gibi meşru yazılımlara kadar değişmektedir.
GitHub’ın kullanımı, özellikle Github erişiminin rutin olduğu geliştirme ortamlarında, kurumsal savunucular için zorluklar doğurur. Raporda, “Kötü amaçlı bir gitithub indirme işleminin düzenli web trafiğinden ayırt edilmesi zor olabilir.” Dedi. Saldırganlar muhtemelen kurumsal ortamlarda kötü amaçlı yazılım dağıtmak için bu güvenden yararlanmaktadır.
Talos, GitHub’a kötü niyetli hesapları bildirdiğini ve onları hızla indirdiğini söyledi. Ancak, operasyonla ilişkilendirildiğine inanılan ek hesaplar da keşfedildi ve uzlaşmanın ölçeği ve uzun ömürlülüğü ile ilgili endişeleri artırdı.
Github “checkBalance.py” de bulunan dikkate değer bir varyant, bir kripto para birimi aracı olarak gizlenmiş bir Python betiği idi. Sonunda Amadey’i indiren ve bilinen bir komut ve kontrol sunucusuyla temasa geçen gömülü baz64 kodlu PowerShell komutları içeriyordu.
İlk olarak 2018’de Rusça konuşan forumlarda görülen Amadey, öncelikle keşif ve yük teslimatı için kullanılan modüler bir bottur. Kimlik bilgisi hasat, ekran görüntüsü yakalama ve diğer kötü amaçlı görevler için sistem bilgilerini toplayabilir ve eklentileri dağıtabilir. Bu Maas operasyonundaki varlığı, kamuya açık altyapının kötü amaçlı yazılım dağıtımı için seçildiği gelişen tehdidin altını çizmektedir.
Kampanya, açık platformların gizli kötü amaçlı yazılım dağıtım kanallarına nasıl dönüştürülebileceğini bir kez daha gösteriyor. Kuruluşlara GitHub trafiğini incelemeleri, mümkün olan yerlerde erişimi sınırlamaları ve olağandışı indirme modellerini ve PowerShell yürütme davranışlarını yakalamak için gelişmiş tehdit algılama mekanizmalarını dağıtmaları tavsiye edilir.