GitHub 被滥用以代表恶意软件即服务分发有效负载

快速阅读: 《Ars Technica》消息，思科Talos团队发现，黑客利用GitHub分发恶意软件，如Emmenhtal和SmokeLoader，绕过过滤器。该活动自2月持续，与乌克兰攻击有关，但使用不同后门。

据思科Talos安全团队报道，7月27日，研究人员发现一名利用“恶意软件即服务”（MaaS）的运营者，该运营者通过公共GitHub账户向目标分发多种恶意软件。GitHub的使用为MaaS提供了一个可靠且易于操作的平台，尤其在许多企业网络中广泛应用。

Talos研究人员克里斯·尼尔和克雷格·杰克逊表示：“除了方便文件托管外，从GitHub仓库下载文件可能绕过未设置阻止GitHub域名的网页过滤器。”他们指出，尽管一些组织可能会封锁GitHub以限制开源攻击工具的使用，但许多拥有软件开发团队的组织仍需保留对GitHub的访问权限。这使得通过GitHub进行的恶意下载在这些环境中难以被识别。

Talos称，这一活动自2月以来一直在持续，使用了已知的恶意软件加载器，如Emmenhtal和PeakLight。此前，派拓网络和乌克兰国家网络安全机构SSSCIP的研究人员记录了Emmenhtal通过恶意电子邮件向乌克兰实体分发恶意软件的情况。Talos在MaaS操作中发现了相同的Emmenhtal变种，但此次是通过GitHub分发的。

值得注意的是，使用GitHub的活动与针对乌克兰实体的活动存在一个关键差异。前者最终投放的是一种名为SmokeLoader的恶意后门，而后者则部署了Amadey，这是一种独立的恶意软件平台。Amadey最早出现在2018年，最初用于构建僵尸网络。Talos表示，Amadey的主要功能是从受感染设备中收集系统信息，并下载一系列根据其特征定制的次级载荷。

(以上内容均由Ai生成)