黑客利用 GitHub 存储库托管 Amadey 恶意软件和数据窃取程序绕过过滤器

作为 2025 年 4 月观察到的攻击活动的一部分，威胁行为者正在利用公共 GitHub 存储库来托管恶意负载并通过 Amadey 分发它们。

思科 Talos 研究人员 Chris Neal 和 Craig Jackson 在今天发布的一份报告中表示：“MaaS（恶意软件即服务）运营商使用虚假的 GitHub 帐户来托管有效载荷、工具和 Amadey 插件，可能是为了绕过网络过滤并方便使用。 ”

该网络安全公司表示，攻击链利用名为Emmenhtal（又名 PEAKLIGHT）的恶意软件加载器来传播 Amadey，而后者则从威胁行为者运营的公共 GitHub 存储库下载各种自定义有效载荷。

该活动与2025 年 2 月针对乌克兰实体发动攻击的电子邮件网络钓鱼活动在战术上具有相似之处，该活动使用发票付款和账单相关诱饵通过 Emmenhtal分发SmokeLoader。

Emmenhtal 和 Amadey 都充当信息窃取程序等二级有效载荷的下载器，尽管后者过去也被观察到传播像 LockBit 3.0 这样的勒索软件。

这两个恶意软件家族之间的另一个关键区别是，与 Emmenhtal 不同，Amadey 可以收集系统信息，并且可以通过一系列 DLL 插件进行功能扩展，从而实现特定功能，例如凭证盗窃或屏幕截图。

网络安全
Cisco Talos 对 2025 年 4 月攻击活动的分析发现，三个 GitHub 帐户（Legendary99999、DFfe9ewf 和 Milidmdds）被用于托管 Amadey 插件、辅助负载和其他恶意攻击脚本，包括 Lumma Stealer、RedLine Stealer 和 Rhadamanthys Stealer。这些帐户已被 GitHub 删除。

我们发现，GitHub 存储库中的部分 JavaScript 文件与 SmokeLoader 活动中使用的 Emmenthal 脚本完全相同，主要区别在于下载的有效载荷。具体而言，存储库中的 Emmenhtal 加载器文件充当了 Amadey、AsyncRAT 和 PuTTY.exe 合法副本的传播媒介。

在 GitHub 存储库中还发现了一个 Python 脚本，它可能代表了 Emmenhtal 的演变，它包含一个嵌入式 PowerShell 命令，可以从硬编码的 IP 地址下载 Amadey。

据信，用于部署有效载荷的 GitHub 帐户是更大规模的 MaaS 操作的一部分，该操作滥用微软的代码托管平台进行恶意目的。

此次披露正值Trellix披露一项网络钓鱼活动之际，该活动在针对香港金融服务机构的网络攻击中传播了另一种名为SquidLoader的恶意软件加载程序。该安全供应商发现的其他证据表明，新加坡和澳大利亚可能正在进行类似的攻击。


SquidLoader攻击链
SquidLoader 是一个强大的威胁，因为它内置了多种反分析、反沙盒和反调试技术，使其能够逃避检测并阻碍调查工作。它还可以与远程服务器建立通信，发送有关受感染主机的信息并注入下一阶段的有效载荷。

安全研究员查尔斯·克罗福德 (Charles Crofford)表示： “SquidLoader 采用攻击链，最终部署 Cobalt Strike 信标进行远程访问和控制。其复杂的反分析、反沙盒和反调试技术，加上其较低的检测率，对目标组织构成了重大威胁。”

这项研究还发现，存在大量旨在传播各种恶意软件家族的社会工程活动 -

攻击可能由一个名为 UNC5952 的组织发起，该组织以经济利益为目的，利用电子邮件中的发票主题来为恶意植入程序提供服务，从而导致部署名为 CHAINVERB 的下载程序，进而传播 ConnectWise ScreenConnect 远程访问软件
攻击利用与税务相关的诱饵，诱骗收件人点击链接，该链接最终以启动 PDF 文档为借口提供 ConnectWise ScreenConnect 安装程序
此类攻击利用美国社会保障局 (SSA) 主题来获取用户凭证或安装 ConnectWise ScreenConnect 的木马版本，然后指示受害者安装并同步 Microsoft 的 Phone Link 应用程序，以收集发送到所连接移动设备的短信和双因素身份验证码
攻击利用名为 Logokit 的网络钓鱼工具包，通过创建相似的登录页面并将其托管在 Amazon Web Services (AWS) 基础设施上来绕过检测，从而实现凭证收集，同时集成 Cloudflare Turnstile CAPTCHA 验证，以营造虚假的安全感和合法性
利用另一个基于 Python Flask 的自定义钓鱼工具包进行攻击，以最少的技术努力实现凭证盗窃
代号为 Scanception 的攻击利用PDF 电子邮件附件中的二维码将用户引导至模仿 Microsoft 登录门户的凭证收集页面
利用ClickFix策略传播Rhadamanthys Stealer和NetSupport RAT 的攻击
利用Hoax Tech 和 JS Click Cloaker 等伪装即服务 (CaaS) 产品来隐藏钓鱼网站和恶意网站，使其不被安全扫描器发现，并仅向目标受害者显示，从而逃避雷达监控的攻击
利用HTML 和 JavaScript 制作恶意逼真电子邮件的攻击，可以绕过用户怀疑和传统检测工具
针对 B2B 服务提供商的攻击，这些服务提供商在钓鱼电子邮件中使用可缩放矢量图形 (SVG) 图像文件，并嵌入混淆的 JavaScript，以便在 Web 浏览器中打开后使用 window.location.href 函数重定向到攻击者控制的基础设施
网络安全
根据 Cofense 汇编的数据，2024 年，使用二维码的攻击活动占采用高级策略、技术和程序 (TTP) 的攻击活动的 57%。其他值得注意的方法包括在电子邮件中使用受密码保护的存档附件来绕过安全电子邮件网关 (SEG)。

Cofense 研究员 Max Gannon表示：“通过对档案进行密码保护，威胁行为者可以阻止 SEG 和其他方法扫描其内容并检测出通常明显是恶意的文件。”