Malware-as-a-Service ოპერატორები მავნე პროგრამების გასავრცელებლად GitHub-ს იყენებდნენ
Malware-as-a-Service (MaaS) ოპერაციამ მავნე პროგრამების, მათ შორის Amadey-ს ტროიანის, გასავრცელებლად საჯარო GitHub-ის რეპოზიტორიები გამოიყენა. Cisco Talos-ის თანახმად, თავდამსხმელები ბოროტად იყენებდნენ GitHub-ის სანდო სტატუსს კორპორატიული ვებ-ფილტრების გვერდის ავლის მიზნით. GitHub-მა მავნე ანგარიშები უკვე წაშალა.

რეპოზიტორია MaaS-ს სთავაზობდა გავრცელების არხს, რომელიც ბევრ ქსელში დაბლოკილი არ არის.
Cisco-ს უსაფრთხოების გუნდმა, Talos-მა, აღმოაჩინა Malware-as-a-Service (MaaS) ოპერატორი, რომელიც საჯარო GitHub ანგარიშებს სხვადასხვა მავნე პროგრამის გასავრცელებელ არხად იყენებდა.
GitHub-ის გამოყენებამ Malware-as-a-Service-ს (MaaS) მისცა საიმედო და მარტივი პლატფორმა, რომელიც დაშვებულია ბევრ კორპორატიულ ქსელში, რომლებიც კოდების ამ რეპოზიტორიას საკუთარი პროგრამული უზრუნველყოფის შესაქმნელად იყენებენ. GitHub-მა მავნე პროგრამის შემცველი სამი ანგარიში Talos-ის შეტყობინების მიღებისთანავე წაშალა.
„გარდა იმისა, რომ ეს ფაილების ჰოსტინგის მარტივი საშუალებაა, GitHub-ის რეპოზიტორიიდან ფაილების ჩამოტვირთვამ შესაძლოა, გვერდი აუაროს ვებ-ფილტრაციას, რომელიც GitHub-ის დომენის დასაბლოკად კონფიგურირებული არ არის“, — დაწერეს ხუთშაბათს Talos-ის მკვლევრებმა, Chris Neal-მა და Craig Jackson-მა. „მიუხედავად იმისა, რომ ზოგიერთ ორგანიზაციას შეუძლია დაბლოკოს GitHub-ი, ბევრ კომპანიას, რომელსაც პროგრამული უზრუნველყოფის დეველოპერების გუნდები ჰყავს, GitHub-ზე წვდომა გარკვეულ დონეზე სჭირდება. ასეთ გარემოში, მავნე ჩამოტვირთვის გარჩევა ჩვეულებრივი ვებ-ტრაფიკისგან რთული შეიძლება იყოს“.
გამოყენებული ინსტრუმენტები: Emmenhtal და Amadey
კამპანია, რომელიც Talos-ის თქმით, თებერვლიდან მიმდინარეობდა, იყენებდა ადრე ცნობილ მავნე პროგრამის ჩამტვირთველს, რომელიც ისეთი სახელებითაა ცნობილი, როგორიცაა Emmenhtal და PeakLight. უსაფრთხოების ფირმა Palo Alto Networks-ისა და უკრაინის კიბერუსაფრთხოების სააგენტო SSSCIP-ის მკვლევრებს უკვე ჰქონდათ დოკუმენტირებული Emmenhtal-ის გამოყენება ცალკეულ კამპანიაში, რომელიც უკრაინულ ორგანიზაციებზე მავნე პროგრამების გასავრცელებლად მავნე იმეილებს იყენებდა. Talos-მა იგივე Emmenhtal-ის ვარიანტი MaaS ოპერაციაშიც იპოვა, მხოლოდ ამჯერად ჩამტვირთავი GitHub-ის საშუალებით ვრცელდებოდა.
GitHub-ის გამოყენებით წარმოებული კამპანია უკრაინულ სამიზნეებზე მიმართულისგან კიდევ ერთი მთავარი ნიშნით განსხვავდებოდა. მაშინ, როდესაც უკრაინულ სამიზნეებზე თავდასხმისას საბოლოო „სასარგებლო ტვირთი“ (payload) იყო მავნე „ბექდორი“ SmokeLoader, GitHub-ის შემთხვევაში Amadey, ცალკეული მავნე პლატფორმა, ყენდებოდა. Amadey პირველად 2018 წელს შენიშნეს და თავდაპირველად ბოტნეტების შესაქმნელად გამოიყენებოდა. Talos-ის თქმით, Amadey-ს ძირითადი ფუნქციაა დაინფიცირებული მოწყობილობებიდან სისტემური ინფორმაციის შეგროვება და მეორადი „სასარგებლო ტვირთების“ ჩამოტვირთვა, რომლებიც კონკრეტული კამპანიის მიზნების შესაბამისად, ინდივიდუალურად არის მორგებული.
მას შემდეგ, რაც სამიზნე Amadey-თი დაინფიცირდებოდა, კამპანიის ოპერატორებს შეეძლოთ, აერჩიათ, თუ რომელი „სასარგებლო ტვირთი“ მიეწოდებინათ მისთვის მარტივი GitHub URL-ის საშუალებით. Talos-მა დაადგინა, რომ GitHub-ზე ჰოსტირებული კამპანია, სავარაუდოდ, უფრო დიდი MaaS ოპერაციის ნაწილი იყო. მკვლევრებმა განმარტეს:
„MaaS არის ბიზნეს მოდელი, რომლის დროსაც სერვისის ოპერატორები ყიდიან წვდომას მავნე პროგრამაზე ან წინასწარ არსებულ ინფრასტრუქტურაზე. Talos-ის მიერ იდენტიფიცირებულ ოპერაციაში, ოპერატორები იყენებდნენ Amadey-ს, რათა ყალბი GitHub-ის რეპოზიტორიებიდან დაინფიცირებულ ჰოსტებზე სხვადასხვა მავნე პროგრამა ჩამოეტვირთათ“.
ერთი ინფრასტრუქტურიდან რამდენიმე განსხვავებული მავნე პროგრამის გავრცელება მიუთითებს იმაზე, რომ Amadey-ს უკან მდგომი აქტორები სხვა პირებისთვის ან ჯგუფებისთვის ავრცელებენ „სასარგებლო ტვირთებს“. გარდა ამისა, მეორადი „სასარგებლო ტვირთების“ მართვისა და კონტროლის (C2) ინფრასტრუქტურა არ ემთხვევა Amadey-სას.
Talos-მა ასევე აღმოაჩინა, რომ GitHub-ის ანგარიშებზე მავნე პროგრამა შენიღბული იყო როგორც MP4 ფაილები და ასევე გამოიყენებოდა Python-ზე დაფუძნებული პერსონალური ჩამტვირთავი სახელად checkbalance.py
.
ხუთშაბათს გამოქვეყნებული პოსტი შეიცავს ინდიკატორების სიას, რომლებიც ადმინისტრატორებსა და დამცველებს შეუძლიათ გამოიყენონ იმის დასადგენად, გახდა თუ არა მათი ქსელი ამ კამპანიის სამიზნე.
ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსიები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.
გაზიარება
როგორია თქვენი რეაქცია?






