- O GitHub está sendo armado como infraestrutura de malware, alerta o relatório
- Emmenhtal e Amadey fazem parte de uma cadeia de ataque coordenada e de várias camadas
- As vítimas são principalmente organizações ucranianas, mas todos os usuários do GitHub devem estar em guarda
Os pesquisadores de segurança descobriram uma operação sofisticada de malware como serviço (MAAS), que explora os repositórios públicos do GitHub para comprometer seus objetivos.
Em um Postagem do blogA Cisco Talos disse que os atores da ameaça evoluíram suas táticas de entrega, afastando -se dos métodos tradicionais de phishing e para o Github, que geralmente é permitido em ambientes corporativos.
O Github é uma plataforma extremamente popular no mundo de código aberto e, como tal, está sob uma enxurrada constante de ataques. Esse lote de repositórios maliciosos foi removido, como inúmeros antes.
Como se defender contra ataques transmitidos pelo Github
A campanha procurou entregar duas famílias de malware – Emmenthal e Amadey – principalmente para organizações na Ucrânia.
Emmenthal é um carregador de malware que geralmente cai no Smokeloader, outro carregador. Embora um carregador que carregue um carregador não pareça lógico no início, há uma lógica estratégica por trás dele.
Emmenhtal é projetado como um download furtivo e de vários estágios que se destaca na infecção e evasão inicial. Depois que um ponto de apoio é protegido, ele entrega a próxima fase do ataque ao Smokeloader, que é um carregador modular rico em recursos especializado em operações pós-infecção.
Amadey, por outro lado, é uma botnet que foi vista pela primeira vez por volta de 2018, vendida principalmente em fóruns de crime cibernético de língua russa. Ele atua como um downloader modular e um perfil do sistema, capaz de fornecer uma ampla gama de malware, incluindo ladrões de informações e ransomware.
Nesta campanha, Amadey foi hospedado no Github e disfarçado de várias maneiras, como um arquivo MP4, ou incorporado em scripts Python como `checkBalance.py‘.
Para se defender contra isso, e outras ameaças como essa, as empresas devem aplicar filtragem estrita para anexos baseados em scripts, ficar de olho na execução do PowerShell e revisar as políticas do GitHub, sempre que possível.
Eles também devem ir para o monitoramento de defesa em profundidade e comportamento, pois eles podem ajudar a identificar padrões de download obscuros ou cargas úteis sendo executadas em máquinas direcionadas.
Fique conectado