2025年7月19日
Random News

移动安全网

关注全球网络安全市场

Trending News

安全播报
黑客利用 GitHub 仓库托管 Amadey 恶意软件和数据窃取者,绕过过滤器 01
02
披露
超大规模 DDoS 攻击达历史新高 7.3Tbps,瞄准全球关键行业
03
厂商快报
奇安信位居IDC中国CNAPP市场领导者类别
04
厂商快报
谷歌确认重大操作系统合并:Android 与 ChromeOS 将合并为单一统一平台
05
披露
新闻快报
谷歌 Gemini 漏洞劫持邮件摘要进行钓鱼攻击

黑客利用 GitHub 仓库托管 Amadey 恶意软件和数据窃取者,绕过过滤器

安全哥01 mins

威胁行为者正在利用公共 GitHub 仓库来托管恶意有效载荷,并通过 Amadey 在 2025 年 4 月观察到的一次活动中分发它们。

“MaaS[恶意软件即服务]运营商使用伪造的 GitHub 账户来托管有效载荷、工具和 Amadey 插件,这可能是为了绕过网络过滤并便于使用,”思科 Talos 的研究员 Chris Neal 和 Craig Jackson 在今日发布的报告中表示 

这家网络安全公司表示,攻击链利用名为 Emmenhtal(又名 PEAKLIGHT)的恶意软件加载器来传递 Amadey,而 Amadey 则从威胁行为者运营的公共 GitHub 仓库中下载各种自定义有效载荷。

黑客利用 GitHub 仓库托管 Amadey 恶意软件和数据窃取器,绕过过滤器进行活动,其战术与 2025 年 2 月针对乌克兰实体攻击中使用的通过 Emmenhtal 散布 SmokeLoader 的电子邮件钓鱼活动具有相似之处。

Emmenhtal 和 Amadey 都充当二级有效载荷(如信息窃取器)的下载器,尽管后者过去也曾被观察到传递 LockBit 3.0 等勒索软件。

这两种恶意软件家族之间的另一个关键区别是,与 Emmenhtal 不同,Amadey 可以收集系统信息,并且可以通过一系列 DLL 插件扩展功能,这些插件可以实现特定功能,如凭证窃取或屏幕截图捕获。

思科 Talos 对 2025 年 4 月活动的分析发现,有三个 GitHub 账户(Legendary99999、DFfe9ewf 和 Milidmdds)被用于托管 Amadey 插件、二级有效载荷和其他恶意攻击脚本,包括 Lumma 窃取器、RedLine 窃取器和 Rhadamanthys 窃取器。这些账户已被 GitHub 关闭。

一些 GitHub 仓库中存在的 JavaScript 文件被发现与在 SmokeLoader 活动中使用的 Emmenthal 脚本相同,主要区别在于下载的负载。具体来说,仓库中的 Emmenthal 加载器文件作为 Amadey、AsyncRAT 以及 PuTTY.exe 合法副本的传输向量。

在 GitHub 仓库中还发现了一个 Python 脚本,可能代表了 Emmenthal 的演变,其中包含一个嵌入的 PowerShell 命令,从硬编码的 IP 地址下载 Amadey。

据信,用于部署负载的 GitHub 账户属于一个更大的 MaaS 操作,该操作滥用微软的代码托管平台进行恶意目的。

这一披露发生在 Trellix 详细介绍了针对香港金融服务机构的网络攻击中传播另一种恶意加载器 SquidLoader的钓鱼活动之际。安全供应商挖掘出的其他证据表明,新加坡和澳大利亚可能正在进行相关攻击。

SquidLoader 凭借其内置的多种反分析、反沙盒和反调试技术,构成了一项强大的威胁,使其能够躲避检测并阻碍调查工作。它还能与远程服务器建立通信,发送有关受感染主机的信息并注入下一阶段的有效载荷。

“SquidLoader 使用攻击链,最终部署 Cobalt Strike 信标以实现远程访问和控制”,安全研究员查尔斯·克罗福德说 。“其复杂的反分析、反沙盒和反调试技术,加上其稀疏的检测率,对目标组织构成了重大威胁。”

研究发现还紧随一系列社会工程学运动的发现,这些运动旨在分发各种恶意软件家族——

  • 攻击可能由一个被称为 UNC5952 的以经济利益为动机的团体发起,该团体利用电子邮件中的发票主题来提供恶意下载器,进而部署名为 CHAINVERB 的下载器,该下载器随后提供 ConnectWise ScreenConnect 远程访问软件
  • 利用税务诱饵攻击,诱骗收件人点击链接,最终在启动 PDF 文档的幌子下,安装 ConnectWise ScreenConnect 安装程序
  • 利用美国社会保障局(SSA)主题攻击,窃取用户凭证或安装被木马化的 ConnectWise ScreenConnect 版本,随后指示受害者安装并同步微软的 Phone Link 应用,可能收集发送到连接的移动设备上的短信和双因素认证码
  • 利用名为 Logokit 的钓鱼工具包,通过创建类似登录页面并在亚马逊网络服务(AWS)基础设施上托管,以绕过检测,同时集成 Cloudflare Turnstile CAPTCHA 验证,制造虚假的安全感和合法性
  • 利用另一个基于 Python Flask 的定制钓鱼工具包,以最少的努力实现凭证盗窃
  • 攻击代号为 Scanception,利用 PDF 电子邮件附件中的二维码将用户引导至模仿微软登录门户的凭证收集页面的攻击
  • 采用 ClickFix 策略的攻击,用于分发 Rhadamanthys 窃取器和 NetSupport RAT
  • 利用伪装服务(CaaS)提供,如 Hoax Tech 和 JS Click Cloaker,来隐藏钓鱼和恶意网站,仅向目标受害者展示,以此方式避开安全扫描器的攻击
  • 利用 HTML 和 JavaScript 制作看起来真实的恶意电子邮件,可以绕过用户的怀疑和传统检测工具
  • 黑客利用 GitHub 存储库托管 Amadey 恶意软件和数据窃取器,通过在网页浏览器中打开时使用 window.location.href 函数将用户重定向到攻击者控制的基础设施,针对使用可伸缩矢量图形(SVG)图像文件进行钓鱼邮件的 B2B 服务提供商进行攻击,这些图像文件中嵌入混淆的 JavaScript

根据 Cofense 收集的数据,2024 年,使用高级战术、技术和程序(TTPs)的 57%的活动中使用了二维码。其他引人注目的方法包括在电子邮件中使用密码保护的存档附件来绕过安全电子邮件网关(SEG)。

“通过密码保护存档,威胁行为者阻止了 SEG 和其他方法扫描其内容并检测出通常明显是恶意文件的情况,”Cofense 研究员 Max Gannon 说。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

相关新闻