В апреле 2025 года эксперты Cisco Talos выявили масштабную операцию Malware-as-a-Service (MaaS), в рамках которой злоумышленники использовали троян Amadey для доставки вредоносных нагрузок. Операция отличалась сложной инфраструктурой и тактиками, включая использование поддельных аккаунтов на GitHub для размещения вредоносных файлов, плагинов Amadey и инструментов. Это позволяло злоумышленникам обходить веб-фильтрацию и упрощало эксплуатацию жертв. Примечательно, что часть тактик, методов и процедур (TTP) совпадала с фишинговой кампанией SmokeLoader, выявленной ранее в 2025 году и направленной против украинских организаций.
Описание
Фишинговая атака, зафиксированная в феврале 2025 года, включала письма с тематикой счетов и оплаты, содержавшие архивные вложения (ZIP, 7Zip или RAR). Внутри архивов находились JavaScript-файлы с многослойной обфускацией, скрывавшей PowerShell-загрузчик. В результате исполнения этих скриптов на систему жертвы загружался и запускался SmokeLoader. Анализ показал, что JavaScript-загрузчики принадлежали семейству Emmenhtal, ранее описанному Orange Cyberdefense.
При дальнейшем изучении Emmenhtal эксперты Talos обнаружили образцы, которые не были связаны с фишинговой кампанией, но использовали схожие методы. Эти файлы распространялись не через email, а через публичные репозитории GitHub и загружали не SmokeLoader, а Amadey. Последний, в свою очередь, скачивал дополнительные вредоносные модули с GitHub. Это указывало на MaaS-операцию, в рамках которой злоумышленники продавали доступ к вредоносным инструментам через открытые репозитории.
Исследователи выявили три GitHub-аккаунта, использовавшихся для хранения вредоносных файлов: Legendary99999, DFfe9ewf и Milidmdds. Такая тактика позволяет обходить корпоративные фильтры, так как GitHub часто остается доступным для разработчиков. Например, аккаунт Legendary99999 содержал более 160 репозиториев со случайными именами, каждый из которых хранил вредоносные файлы в разделе Releases. Это позволяло злоумышленникам легко загружать их через URL вида:
| 1 | https://github.com/[account_name]/[repository_name]/releases/download/[release_name]/[file_name] |
Среди вредоносных семейств, обнаруженных в этих репозиториях, были Rhadamanthys, Lumma, Redline и другие. Аккаунт DFfe9ewf, вероятно, использовался для тестирования: в нем находились инструменты вроде DInvoke и Selenium WebDriver, которые могут применяться в злонамеренных целях.
Анализ показал, что JavaScript-файлы, размещенные в репозиториях Milidmdds, практически идентичны Emmenhtal-скриптам из фишинговой кампании SmokeLoader. Они также использовали многослойную обфускацию и в финале загружали вредоносные файлы, включая Amadey, AsyncRAT и даже легитимный PuTTY.exe. Это подтверждает гибкость MaaS-операции, позволяющей клиентам выбирать нужные инструменты.
Кроме того, был обнаружен уникальный Python-скрипт checkbalance.py, маскирующийся под инструмент для проверки криптовалютных счетов. После запуска он загружал Amadey и подключался к C2-серверу. Интересно, что при ошибке скрипт выводил сообщение на русском языке с грамматической ошибкой: «Аккаунт кончились», что может указывать на происхождение авторов.
GitHub оперативно заблокировал выявленные аккаунты, однако подобные угрозы требуют постоянной бдительности. Учитывая связь с атаками на украинские организации, важно учитывать геополитический контекст и адаптировать защитные меры соответствующим образом.
Индикаторы компрометации
IPv4
- 185.156.73.73
- 185.215.113.209
- 185.215.113.75
URLs
- http://185.215.113.16/test/amnew.exe
- http://185.215.113.43/Zu7JuNko/index.php
- http://pivqmane.com/doc/fb.mp4
- http://pivqmane.com/testonload.mp4
SHA256
- 0334cd1b8ab17203179da1ae77c1fad97ddf794cc63a6048aca664956d10b2ca
- 21cf7da02e01b3c2317178395eff873e50ab9b8f27a23ffed37b2efff8fd6b90
- 35c1eb5ff8913c4ca4feb712e05354772146247bdb4b337868c687730f201023
- 718be762e8bd513283cd5e21634dc65bd160e47121716fd058daf5f3be42728a
- 87618787e1032bbf6a6ca8b3388ea3803be20a49e4afaba1df38a6116085062f
- 9bcfc98998b9e42b86204e66605b65462eeb8cfd8a0661b3ceebc99d4277e83c
