GitHub видалив акаунти російських хакерів, які розповсюджували шкідливе ПЗ, націлене на Україну

Експерти відділу безпеки Cisco Talos розкрили оператора шкідливих програм як послуги (Malware-as-a-Service, MaaS), який використовував публічні облікові записи GitHub для поширення шкідливого софту. Оскільки однією з головних цілей зловмисників були українські організації, сліди ведуть до росіян.

GitHub став для хакерів простою та надійною платформою, яка має довіру в багатьох корпоративних мережах. Компанії самі використовують GitHub як репозиторій коду при розробці власного ПЗ, тому домен сервісу, як правило, не блокується веб-фільтрами. Кіберзлочинцям це надає значну перевагу.

Після отримання повідомлення від Talos адміністрація GitHub видалила три облікові записи, на яких розміщувалося шкідливе програмне забезпечення. Один з них — Legendary99999 — містив понад 160 репозиторіїв із випадковими іменами. Кожен із цих репозиторіїв містив один файл у розділі «Релізи». Після зараження хоста оператори цього сервісу могли вибрати корисне навантаження для доставки, просто завантаживши файл з GitHub-репозиторія.

Інцидент, про який йде мова, пов’язаний із кампанією, що триває ще з лютого. Тоді дослідники з Palo Alto Networks та Державного центру кіберзахисту Держспецзв’язку України задокументували використання фішингових електронних листів, присвячених оплаті та виставленню рахунків, які були спрямовані на українські організації. Ці листи містили архівні вкладення (наприклад, ZIP, 7Zip або RAR) з файлом JavaScript, який використовував кілька рівнів обфускації для маскування завантажувача PowerShell. Виконання JavaScript та скрипта PowerShell призвело до завантаження та запуску SmokeLoader на системі жертви.

Тепер Talos виявила ту саму схему в операції MaaS, тільки цього разу завантажувач поширювався через GitHub.

Відмінною рисою цієї атаки є встановлення на комп’ютери жертв Amadey. Цю шкідливу програму (або бот Amadey) вперше виявили у 2018 році на російськомовних хакерських форумах за ціною $500. Спочатку її використовували для створення ботнетів. 

Основні функції Amadey полягають у зборі системної інформації та завантаженні вторинних корисних даних на заражений хост. Однак Amadey є модульним, і його функціональність можна розширити за допомогою різноманітних плагінів. Ці плагіни мають форму динамічних бібліотек (DLL), які можна вибрати на основі бажаної функціональності, такої як можливості створення знімків екрана або збір облікових даних. Незважаючи на поширене використання Amadey як завантажувача, він може становити серйозну загрозу.