Yeni tanımlanmış bir Hizmet Olarak Kötü Yazılım (MAAS) operasyonu, Infostealer ailelerinin bir karışımını yaymak için GitHub depolarını kullanıyor. Bu kampanya, bulgularını bugün daha önce yayınlayan Cisco Talos’taki siber güvenlik araştırmacıları tarafından tespit edildi ve bu etkinliğin arkasındaki tehdit aktörlerinin, kötü amaçlı yazılımları doğrudan enfekte sistemlere yönlendirme için kötü amaçlı yazılımları nasıl çekmek için kullandıklarını detaylandırdı.
Bu operasyon Nisan 2025’te ortaya çıktı, ancak faaliyeti en az Şubat ayına kadar uzanıyor, aynı zamanda Ukraynalı örgütler Smokeloader kimlik avı e -postalarıyla vuruldu. Talos analistleri, bu kampanya ile yeni Amadey odaklı olan arasındaki taktik ve altyapıda dikkate değer bir örtüşme fark ettiler, bu da aynı ellerin her ikisinin de arkasında olabileceğini düşündürdü.
Bu durumda göze çarpan, GitHub’ın kötüye kullanılması idi. Saldırganlar sahte hesaplar oluşturdular ve bunları açık dizinler, yükler, araçlar ve Amadey eklentileri barındıran açık dizinler gibi kullandılar. Github’ın kurumsal ortamlarda yaygın kullanım ve güvenini kullanarak, saldırganlar muhtemelen kötü niyetli alanları engelleyebilecek birçok standart web filtresini kaldırdılar.
Özellikle bir Github hesabı, Cisco Talos’un teknik blog gönderisine göre, “Legendary99999”Ağır kullanıldı. Her biri doğrudan GitHub URL üzerinden indirilmeye hazır tek bir kötü amaçlı dosya içeren 160’dan fazla depo barındırdı.
Diğer iki hesap, “Milidmdds” Ve “DFfe9ewf”Benzer bir yaklaşımı izledi, ancak“ dffe9ewf ”daha deneysel gibi görünüyordu. Toplamda, bu hesaplar Amadey, Lumma, Redline ve Asyncrat dahil olmak üzere çeşitli Infostealer ailelerinden senaryoları, yükleyicileri ve ikili dosyaları barındırdı.
Amadey yeni değil. İlk olarak 2018’de Rusça konuşan forumlarda yer aldı, yaklaşık 500 $ karşılığında satıldı ve o zamandan beri çeşitli gruplar tarafından botnet oluşturmak ve ek kötü amaçlı yazılımlar bırakmak için kullanıldı.
Kötü amaçlı yazılım sistem bilgilerini hasat edebilir, daha fazla araç indirebilir ve eklentilerle işlevselliğini genişletebilir. Yaygın olarak bir indirici olarak kullanılmasına rağmen, esnek tasarımı, nasıl yapılandırıldığına bağlı olarak daha büyük bir tehdit oluşturabileceği anlamına gelir.
Bu kampanya ve daha önceki Smokeloader operasyonu arasındaki teknik bağlantı, “Emmenhtal” olarak bilinen bir yükleyiciye odaklanır. İlk olarak 2024 yılında Orange CyberDefense tarafından belgelenen Emmenhtal, son yükünü şaşkınlık katmanlarına saran çok katmanlı bir indiricidir. Talos, Emmenhtal’ın varyantlarının sadece Ukraynalı varlıkları hedefleyen kimlik avı kampanyasında değil, aynı zamanda sahte GitHub hesaplarında barındırılan senaryolara da yerleştirildiğini buldu.
Ayrıca dikkat çekici olan şey, “Milidmdds“Hesap,”Work.js” Ve “Putikatest.js”Daha önceki kampanyada görülenlerle neredeyse aynıydı. Tek fark işlev adlarında ve son indirme hedeflerinde küçük değişikliklerdi. Smokeloader yerine, bu sürümler Amadey’i, macun yürütülebilir ürünlerini ve Asyncrat gibi uzaktan erişim araçlarını getirdi.
GitHub’ın kullanımı JavaScript Droppers ile sınırlı değildi. Talos ayrıca bir Python senaryosu buldu:checkbalance.py”Bir kripto aracı olarak maskelenmek. Gerçekte, Amadey’i bilinen bir komut ve kontrol adresinden indiren bir PowerShell komut dosyasını çözdü ve çalıştırdı. Daha da fazlası, Kırık Kiril’de bir hata mesajı gösterdi, kökenlerine veya hedef kitleye işaret etti.
Github, uyarıldıktan sonra belirlenen hesapları kapatmaya hızlı bir şekilde hareket ederken, bu olay günlük platformların kötü niyetli amaçlar için nasıl kullanılabileceğini vurgulamaktadır. Github erişiminin gerekli olduğu ortamlarda, bu tür bir kötüye kullanımı tespit etmek kolay değildir.
Talos araştırmacıları altyapıyı izlemeye devam ediyor ve operatörlerin birden fazla müşteri adına yükü dağıttığına inanıyorlar. Bu depolarda görülen infosterers çeşitliliği bu teoriyi destekler ve GitHub’ın erişilebilirliği ile tespit edilmemek isteyen MaaS operasyonları için etkili bir dağıtım yöntemi sunar.