シスコTalosのセキュリティ研究者によって、さまざまな悪意あるペイロードの配信インフラとしてパブリックなGitHubリポジトリを利用する新たなマルウェア配布キャンペーンが明らかになりました。
このオペレーションでは、AmadeyボットネットとEmmenhtalローダーを利用し、SmokeLoader、Lumma、AsyncRATなどのマルウェアを侵害されたシステムに配信しています。
Emmenhtalローダーがメールキャンペーン以外でも発見
本日公開されたアドバイザリで、シスコTalosはEmmenhtalローダーを2025年2月初旬、ウクライナの組織を標的としたフィッシングメール内で初めて観測したと述べています。これらのメッセージには、SmokeLoaderを展開するために設計されたJavaScriptファイルを含む圧縮ファイルが添付されていました。
しかし、さらなる分析により、メールベースの配信を完全に回避し、パブリックなGitHubリポジトリに直接アップロードされた追加のEmmenhtal亜種が明らかになりました。最初のキャンペーンとは異なり、これらのサンプルはAmadeyを配信し、その後GitHubから二次ペイロードをダウンロードしました。
このサイバーセキュリティ企業は、これらGitHub上でホストされたキャンペーンが、より大規模なマルウェア・アズ・ア・サービス(MaaS)オペレーションの一部である可能性が高いとしています。
オペレーターはGitHubをオープンディレクトリとして利用し、Amadeyに関連するペイロード、ツール、プラグインのホスティングに同プラットフォームのアクセス性を悪用していました。GitHubは企業環境で許可されていることが多いため、そこからの悪意あるダウンロードは検出がより困難です。
マルウェアローダーに関する詳細:脅威アクターがHijackLoaderとDeerStealerで被害者を標的に
Cisco Talosの研究者は、キャンペーンに関連する主な3つのアカウントを特定しました:
-
Legendary99999:160以上のリポジトリにマルウェアペイロードを多数ホスト
-
DFfe9ewf:Selenium WebDriverやDInvokeなどのツールキットを含むテスト用アカウントの可能性
-
Milidmdds:悪意あるJavaScriptスクリプトやEmmenhtalのカスタムPython版を含む
これらのアカウントがホストしていたファイルは、GitHubの直接URL経由でダウンロードできるよう構成されており、Amadeyが感染後に取得・実行できる仕組みとなっていました。
キャンペーン間の技術的な関連性
配信手法は異なるものの、GitHubリポジトリで発見されたEmmenhtalスクリプトは、以前のウクライナ標的型フィッシングキャンペーンで使用されたものと類似していました。
それらは同じ4層構造を特徴としており、以下で構成されています:
-
難読化されたJavaScript
-
ActiveXObjectベースのPowerShellランチャー
-
AESで暗号化されたブロブ
-
特定IPを狙う最終PowerShellダウンローダー
このキャンペーンでは、MP4ファイルに偽装した亜種や、「checkbalance.py」と呼ばれる独自のPythonベースローダーも使われており、仮想通貨アカウント残高を確認するふりをして、同一のPowerShellチェーンを起動していました。
同様の脅威に対抗するため、組織はスクリプトベースの添付ファイルに対する厳格なフィルタリング、PowerShell実行の監視、可能な場合はGitHubアクセス方針の見直しを実施すべきです。多層防御や振る舞い監視は、異常なダウンロードパターンやペイロード実行の検知に役立ちます。
Talosは特定したアカウントをGitHubに報告し、GitHubは迅速に該当コンテンツを削除しました。
翻訳元: https://www.infosecurity-magazine.com/news/maas-campaign-github-payloads/