Talos de Cisco安全团队的研究人员发现了一个恶意软件操作员作为一项服务,该服务使用公共GitHub帐户作为渠道,将各种恶意软件分配给目标。
GitHub的使用使恶意软件作为服务(MAAS)是一个可靠且易于使用的平台,在许多依赖代码存储库中用于其开发软件的商业网络中是绿色的。 Github删除了在Talos告知后不久接待有用的恶意指控的三个帐户。
Talos Chris Neal和Craig Jackson的研究人员在周四写道:“除了是托管文件住宿的一种简单方法外,从GitHub存储库下载文件还可以绕过未配置以阻止GitHub域的Web过滤。” “尽管某些组织可以阻止GitHub在其环境中,以减慢使用开源攻击工具和其他恶意软件的使用,但许多具有软件开发团队的组织需要GitHub访问某种方式。在这些环境中,恶意的GitHub下载可能很难与常规的网络流量区分开。”
Emenhtal,会见Amadey
根据塔洛斯(Talos)的说法,该活动一直在进行自2月以来的进行,它使用了以前以Emmenhtal和Peaklight等名称而闻名的恶意软件充电器。安全公司Palo Alto网络和乌克兰主要网络机构机构SSSCIP的研究人员已经记录了Emmenhtal在一个单独的活动中使用Emmenhtal,该活动将充电器集成到恶意电子邮件中,以在乌克兰实体中分发恶意软件。塔洛斯(Talos)在Maas操作中发现了相同的变体Emmenhtal,但是这次,充电器是通过Github分发的。
使用GitHub的运动与以另一种关键方式针对乌克兰实体不同。尽管乌克兰实体的最后有效载荷是一扇恶意被盗的门被称为烟熏舞者,但Github One安装了Amadey,这是一个众所周知的恶意平台。 Amadey是2018年首次看到的,最初被用于组装僵尸网络。塔洛斯(Talos)说,阿玛迪(Amadey)的主要功能是根据受感染设备收集系统信息,并下载一组有用的二次费用,该费用个性化的个人特征,具体取决于不同广告系列中的特定目标。