Dreigingsacteurs maken gebruik van openbare GitHub -repositories om kwaadaardige ladingen te organiseren en deze te verspreiden via Amadey als onderdeel van een campagne die in april 2025 is waargenomen.
“De MAAS-operators (malware-as-a-service) gebruikten nep-GitHub-accounts om payloads, tools en Amadey-plug-ins te hosten, waarschijnlijk als een poging om webfiltering te omzeilen en voor gebruiksgemak,” zeiden Cisco Talos-onderzoekers Chris Neal en Craig Jackson in een rapport dat vandaag werd gepubliceerd.
Het Cybersecurity Company zei dat de aanvalsketens een malware -lader genaamd Emmenhtal (AKA Peaklight) benutten om Amadey te leveren, die van zijn kant verschillende aangepaste payloads downloadt van openbare GitHub -repositories die door de dreigingsacteurs worden beheerd.
De activiteit deelt tactische overeenkomsten met een e-mail phishing-campagne die factuurbetaling en factureringsgerelateerde kunstaas gebruikte om Smokeloader via Emmenhtal in februari 2025 te verspreiden in aanvallen op Oekraïense entiteiten.
Zowel Emmenhtal als Amadey functioneren als een downloader voor secundaire payloads zoals informatie -stealers, hoewel deze in het verleden ook is waargenomen bij het leveren van ransomware zoals Lockbit 3.0.
Een ander cruciaal onderscheid tussen de twee malwarefamilies is dat Amadey, in tegenstelling tot Emmenhtal, systeeminformatie kan verzamelen en kan worden uitgebreid met een reeks DLL-plug-ins die een specifieke functionaliteit mogelijk maken, zoals diefstal van de referenties of screenshot-opname.
De analyse van Cisco Talos van de campagne van april 2025 heeft drie GitHub -accounts ontdekt (Legendary99999, Dffe9ewf en Milidmdds) die wordt gebruikt om Amadey -plug -ins, secundaire ladingen en andere schadelijke aanvalscripts te hosten, waaronder Lumma Stealer, Redline Staler, Redline Staler, Redline Staler, Redline Staler, Redline Staler, Redline Staler, Redline Staler, Redline Staler, Redline Staler, Redline Stealer en Rhadamanthys Stealer. De rekeningen zijn sindsdien verwijderd door GitHub.
Sommige van de JavaScript -bestanden die aanwezig zijn in de GitHub -repositories zijn identiek gebleken aan de Emmenthal -scripts die worden gebruikt in de Smokeloader -campagne, het primaire verschil is de gedownloade payloads. In het bijzonder dienen de Emmenhtal Loader -bestanden in de repositories als een leveringsvector voor Amadey, asyncrat en een legitiem exemplaar van Putty.exe.
Ook ontdekt in de GitHub-repositories is een Python-script dat waarschijnlijk een evolutie van Emmenhtal vertegenwoordigt, met een ingebed PowerShell-opdracht om Amadey te downloaden van een hard gecodeerd IP-adres.
Er wordt aangenomen dat de GitHub -accounts die worden gebruikt om de payloads te organiseren, deel uitmaken van een grotere Maas -operatie die het codehostingplatform van Microsoft misbruikt voor kwaadaardige doeleinden.
De openbaarmaking komt als Trellix een phishing -campagne gedetailleerd die een andere malware -lader propageert die bekend staat als SquIdloader in cyberaanvallen gericht tegen financiële diensteninstellingen in Hong Kong. Aanvullende artefacten die door de beveiligingsverkoper zijn opgegraven, suggereren dat gerelateerde aanvallen kunnen worden aan de gang in Singapore en Australië.
Squidloader is een formidabele bedreiging vanwege de diverse reeks anti-analyse, anti-zandbox en anti-debug-technieken die erin zijn verpakt, waardoor het detectie kan ontwijken en onderzoeksinspanningen kan belemmeren. Het kan ook communicatie met een externe server vaststellen om informatie over de geïnfecteerde host te verzenden en de payload op de volgende fase te injecteren.
“Squidloader gebruikt een aanvalsketen die uitmaakt van de inzet van een kobaltstaking baken voor externe toegang en controle,” zei beveiligingsonderzoeker Charles Crofford. “Zijn ingewikkelde anti-analyse, anti-zandbox en anti-debuggingtechnieken, in combinatie met zijn schaarse detectiepercentages, vormen een belangrijke bedreiging voor gerichte organisaties.”
De bevindingen volgen ook op de ontdekking van een breed scala aan sociale engineeringcampagnes die zijn ontworpen om verschillende malwarefamilies te distribueren –
- Aanvallen die waarschijnlijk worden uitgevoerd door een financieel gemotiveerde groep aangeduid als UNC5952 die factuurthema’s in e -mails benutten om kwaadaardige droppers te bedienen die leiden tot de implementatie van een downloader genaamd Chainverb die op zijn beurt de ConnectWise -screenconnect Remote Access -software levert
- Aanvallen die belastinggerelateerde lokvogels gebruiken om ontvangers te misleiden om te klikken op een link die uiteindelijk een ConnectWise Screenconnect-installatieprogramma levert onder het voorwendsel van het lanceren van een PDF-document
- Aanvallen die gebruik maken van US Social Security Administration (SSA) -thema’s om gebruikersreferenties te oogsten of de Trojanized-versie van Connectise ScreenConnect te installeren, waarna slachtoffers worden geïnstrueerd om de telefoonlink-app van Microsoft te installeren en te synchroniseren om mogelijk sms-berichten en twee-factor authenticatcodes te verzamelen die naar het verbonden mobiele apparaat zijn verzonden
- Aanvallen die een phishing -kit gebruiken genaamd Logokit om inloggegevens mogelijk te maken door Lookalike -inlogpagina’s te maken en ze te hosten op Amazon Web Services (AWS) -infrastructuur om detectie te omzeilen, terwijl tegelijkertijd CloudFlare Captcha Verificatie integreert om een vals gevoel van beveiliging te creëren en legitimiteit te creëren
- Aanvallen die gebruik maken van een andere aangepaste phishing-kit op Python-flessen om diefstal van referenties te vergemakkelijken met minimale technische inspanningen
- Attils Codenaam Scanception die QR -codes gebruiken in PDF -e -mailbijlagen aan directe gebruikers naar de oogstpagina’s van de referenties die de Microsoft Login Portal nabootsen
- Aanvallen die de ClickFix -tactiek gebruiken om Rhadamanthys Stealer en NetSupport Rat te leveren
- Aanvallen die gebruik maken van cloaking-as-a-service (CAAS) -aanbiedingen zoals Hoax Tech en JS Click Cloaker om phishing en kwaadaardige websites van beveiligingsscanners te verbergen en ze alleen te laten zien om de bedoeling slachtoffers als een manier te laten vliegen om onder de radar te vliegen
- Aanvallen die gebruik maken van HTML en JavaScript om kwaadwillende realistische e-mails te maken die het vermoeden van gebruikers en traditionele detectiehulpmiddelen kunnen omzeilen
- Aanvallen gericht op B2B-serviceproviders die gebruik maken van schaalbare Vector Graphics (SVG) -afbeeldingsbestanden in phishing-e-mails en die Obfusceerden JavaScript insluiten om omleidingen te vergemakkelijken naar aanvaller-gecontroleerde infrastructuur met behulp van de Window.Location.Href-functie zodra ze in een webbrowser worden geopend in een webbrowser.
Volgens gegevens verzameld door CoFense was het gebruik van QR-codes goed voor 57% van de campagnes met geavanceerde tactieken, technieken en procedures (TTP’s) in 2024. Andere opmerkelijke methoden omvatten het gebruik van wachtwoordbeveiligde archiefbijlagen in e-mails om veilige e-mailgateways te bereiken (SEG).
“Door het archief te bewaren, voorkomen bedreigingsacteurs SEG’s en andere methoden om de inhoud ervan te scannen en te detecteren wat doorgaans een duidelijk kwaadaardig bestand is,” zei Cofense-onderzoeker Max Gannon.
