Cyberprzestępcy używają fałszywych kont GitHub do hostowania złośliwego oprogramowania Amadey i steganografii do phishingu

Eksperci Cisco Talos odkryli wyrafinowaną operację cyberprzestępczą wykorzystującą popularne repozytorium kodu GitHub jako platformę dystrybucji złośliwego oprogramowania. Kampania typu Malware-as-a-Service łączy wykorzystanie loaderów z botnetu w atakach przeciwko ukraińskim instytucjom. Operacja stanowi przykład ewolucji taktyk cyberprzestępców, którzy coraz częściej korzystają z zaufanych platform technologicznych do omijania systemów bezpieczeństwa.

Operatorzy Malware-as-a-Service wykorzystali fałszywe konta na GitHubie do hostowania narzędzi i wtyczek Amadey, prawdopodobnie w celu ominięcia filtrowania internetowego. Przy ich pomocy atakowali m.in. Ukrainę.

Miliard dolarów na cyberszpiegostwo kosztem obrony. Trump radykalnie zmienia strategię cyberbezpieczeństwa USA

Specjaliści Cisco Talos Intelligence zidentyfikowali zaawansowaną operację typu Malware-as-a-Service wykorzystującą fałszywe konta GitHub do dystrybucji różnorodnych typów złośliwego oprogramowania. Wykorzystywany jest w niej loader Emmenhtal, który służy do dostarczania botnetów Amadey, a także innych narzędzi cyberprzestępczych. Operatorzy stworzyli co najmniej trzy konta GitHub o nazwach Legendary99999, DFfe9ewf i Milidmdds, które zawierały łącznie ponad 160 repozytoriów z randomizowanymi nazwami. GitHub stanowił idealną platformę dla tej operacji ze względu na zaufanie, jakim cieszy się wśród organizacji mających zespoły programistyczne. Pobieranie plików z repozytoriów GitHub może ominąć filtrowanie internetowe, które nie blokuje domeny github.com. Cyberprzestępcy wykorzystali sekcję Releases w repozytoriach do hostowania pojedynczych plików złośliwego oprogramowania, które można było łatwo pobierać za pomocą bezpośrednich URL-i. Talos zgłosił wykryte konta do GitHub, a te zostały szybko usunięte przez administratorów platformy.

Deepfake głosu Marco Rubio wykorzystany w cyberataku na ministrów spraw zagranicznych i gubernatorów poprzez Signala

Równolegle z operacją GitHub eksperci zidentyfikowali powiązaną kampanię phishingową wymierzoną w ukraińskie instytucje. W lutym 2025 roku Talos zaobserwował zbiór wiadomości phishingowych o tematyce płatności i rozliczeń faktur, które zawierały załączniki w postaci archiwów ZIP, 7Zip lub RAR. Pliki te zawierały skrypty JavaScript wykorzystujące kilka warstw obfuskacji do ukrycia kodu PowerShell, który ostatecznie pobierał i uruchamiał SmokeLoadera na zainfekowanych systemach. Analiza wykazała silne powiązania między obydwiema kampaniami poprzez wykorzystanie tego samego wariantu loadera Emmenhtal. Loader ten, znany również jako PEAKLIGHT, składa się z czterech warstw. Trzech służących jako obfuskacja, a także finalnego downloadera PowerShell. Orange Cyberdefense nadała mu nazwę Emmenhtal w sierpniu 2024 roku, chociaż aktywność tego typu obserwowano już od kwietnia 2024 roku.

Cloudflare zablokowało atak DDoS, który pobił wszystkie rekordy. 7,3 Tbps. To jak przesłanie 9350 filmów HD w 45 sekund

Współpraca Unit 42 Palo Alto Networks z ukraińską agencją SSSCIP ujawniła skalę problemu SmokeLoader w regionie. Od maja do listopada 2023 roku zidentyfikowano 23 fale ataków phishingowych przeciwko ukraińskim instytucjom finansowym i rządowym wykorzystujących ten backdoor. Grupa UAC-0006 odpowiedzialna za te ataki zajmuje pierwsze miejsce w kategorii przestępstw finansowych w Ukrainie według danych z grudnia 2023 roku. Potencjalne straty wynoszą około miliona hrywien tygodniowo. Jest to najbardziej kosztowny typ zagrożeń dla ukraińskiej gospodarki. Amadey, botnet wykorzystywany w operacji MaaS, po raz pierwszy pojawił się w 2018 roku na rosyjskojęzycznych forach hakerskich z ceną 500 dolarów. Jego modułowa architektura pozwala na rozszerzanie funkcjonalności poprzez wtyczki w postaci bibliotek DLL, które mogą obejmować wykonywanie zrzutów ekranu czy kradzieży danych uwierzytelniających. W analizowanej kampanii Amadey służył jako platforma do pobierania różnorodnych rodzin malware, w tym stealarów informacji takich jak Redline, Lumma czy StealC.