Киберпреступники используют фальшивые учетные записи GitHub для размещения злоумышленного программного обеспечения Amadey и фишинговой стеганографии
Эксперты Cisco Talos обнаружили сложную операцию по киберпреступности, используя популярный репозиторий кода Github в качестве платформы распределения вредоносных программ. Кампания вредоносного ПО-услуги объединяет использование погрузчиков из ботнета в атаках против украинских учреждений. Операция является примером эволюции киберпреступников, которые все чаще используют надежные технологические платформы, чтобы избежать систем безопасности.
Операторы вредоносных программ, как обезьяны, использовали поддельные учетные записи на Github для размещения инструментов и плагинов Amadey, вероятно, для обхода интернет-фильтрации. С их помощью они напали, среди прочих Украины.
1 миллиард долларов на киберготию за счет защиты. Трамп радикально меняет стратегию кибербезопасности США
Специалисты Cisco Talos Intelligence выявили передовую операцию вредоносных программ, как с использованием учетных записей Fake Github для распространения различных типов вредоносных программ. Он использует погрузчик Emmenhtal, который используется для доставки ботнетов Amadey, а также других киберпреступных инструментов. Операторы создали как минимум три счета Github с именами Legendary99999, DFFE9EWF и MilidMDDS, которые содержали более 160 репозиториев с рандомизированными именами. GitHub был идеальной платформой для этой операции из -за доверия, которым он пользуется среди организаций, организующих организации. Загрузка файлов из репозиториев GitHub может обойти интернет -фильтрацию, которая не блокирует домен github.com. Cybercriminals использовал раздел выпусков в репозиториях для размещения отдельных вредоносных файлов, которые можно легко загрузить с помощью прямых URL -адресов. Талос сообщил, что обнаружил учетные записи GitHub, и они были быстро удалены администраторами платформы.
Глубокий голос Марко Рубио, используемый в кибератаке для министров иностранных дел и губернаторов через Signala
Параллельно с операцией GitHub, эксперты определили соответствующую фишинговую кампанию, направленную на украинские учреждения. В феврале 2025 года Талос наблюдал коллекцию фишинговых сообщений по предмету оплаты и урегулирования счетов, которые содержали вложения в виде архивов Zip, 7ZIP или RAR. Эти файлы содержали сценарии JavaScript, используя несколько слоев запутывания, чтобы скрыть код PowerShell, который в конечном итоге загрузил и запустил SmokeloAder в инфицированных системах. Анализ показал прочные связи между двумя кампаниями, используя тот же погрузчик Emmenht. Этот погрузчик, также известный как Peaklight, состоит из четырех слоев. Три слуги в качестве субъекта, а также последнего загрузчика PowerShell. Orange CyberDefense дал ему имя Emmenht в августе 2024 года, хотя этот тип деятельности наблюдался с апреля 2024 года.
CloudFlare заблокировал атаку DDOS, которая побила все записи. 7,3 Тбит / с. Это как послание фильмов 9350 HD за 45 секунд
Блок сотрудничества 42 Palo Alto Networks с украинским агентством SSSCIP выявило масштаб проблемы с кумминозагрузчиком в регионе. С мая по ноябрь 2023 года были определены 23 волны фишинговых атак на украинские финансовые и государственные учреждения, использующие этот бэкдор. Группа UAC-0006, ответственная за эти атаки, занимает первое место в категории финансовых преступлений в Украине в соответствии с данными с декабря 2023 года. Потенциальные убытки составляют около миллиона гривнии в неделю. Это самый дорогой тип угроз для украинской экономики. Амади, ботнет, использованный в хирургии Мааса, впервые появился в 2018 году на русско -языковых хакерских форумах по цене 500 долларов. Его модульная архитектура позволяет вам расширять функциональность с помощью плагинов в форме библиотек DLL, что может включать в себя производительность экранистов или кражи данных о аутентификации. В проанализированной кампании Амади работала платформой для загрузки различных семейств вредоносных программ, в том числе устойчивая информация, такая как Redline, Lumma и STAREC.
Источник: Cisco Talos Intelligence, SSSCIP UKRAINE, Trendmicro
