I ricercatori del team di protezione Cisco Tallos hanno svelato un operatore di malware-Hissab-A-Servis che utilizzava gli account GitHub pubblici come canale per distribuire il repository di software corrotto negli obiettivi.
L’uso di Githabs è una piattaforma affidabile e facilmente utilizzabile che Githab-Hissabe-A-Servis (MAS) ha dato Greenlette su molte reti aziendali che dipendono dal codice del loro software di sviluppo. Immediatamente dopo essere stati notificati da Github Tallos, i payload contaminati sono stati rimossi ospitando tre account.
“L’hosting di file può bypassare il filtro Web scaricato da Github Prosi Scritto giovedì“Sebbene alcune aziende possano bloccare GitHub nel loro ambiente per prevenire l’uso di strumenti offensivi open source e altri malware, molte aziende con team di sviluppo del software hanno bisogno di accedere a un certo potere. In questo ambiente, un download di Githab contaminato può essere difficile da separare regolarmente dal normale traffico web.”
Incontra l’eminehtal, Amadeye
Tallos ha affermato che questa campagna, che è in esecuzione da febbraio, ha utilizzato un caricatore di malware precedentemente familiare monitorato sotto i nomi tra cui Eminehtal e PicCight. Ricercatori delle agenzie di sicurezza Palo Alto Networks E lo stato principale dell’Agenzia informatica ucraina SSCIP L’uso di Eminehatal si è già iscritto a una promozione separata che ha incorporato il caricatore al caricatore per la distribuzione di malware alle entità ucraine. La stessa variante Emenhtal che si trova nell’operazione di Tallos MA, solo questa volta il caricatore è stato distribuito tramite Githab.
La campagna che utilizzava il Githab era diversa dall’entità ucraina in un altro modo principale. Laddove il carico di retribuzione finale nelle entità ucraine era una schiena inquinata, Githab One è stato installato in AMAD, che è noto come una piattaforma di malware separata. Amadi è stato visto per la prima volta nel 2018 ed è stato inizialmente utilizzato per combinare i botnet. Talos ha affermato che il lavoro iniziale di Amadeye è stato quello di raccogliere informazioni di sistema da dispositivi infetti e scaricare una serie di payload secondari che hanno personalizzato le loro caratteristiche distinte su scopi specifici di varie promozioni.
