GitHub, Ukrayna'da Amadey, Lumma ve Redline InfoStealers'ı Yaymak İçin Kötüye Kullanıldı

Yeni tespit edilen bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) operasyonu, çeşitli bilgi hırsızı ailelerini yaymak için GitHub depolarını kullanıyor. Bu kampanya, Cisco Talos'taki siber güvenlik araştırmacıları tarafından tespit edildi ve bulgularını bugün erken saatlerde yayınlayarak, bu faaliyetin arkasındaki tehdit aktörlerinin kötü amaçlı yazılımları doğrudan genel GitHub sayfalarından enfekte sistemlere çekmek için Amadey botunu nasıl kullandıklarını ayrıntılarıyla anlattılar.

Bu operasyon Nisan 2025'te ortaya çıktı, ancak faaliyetleri en azından Şubat ayına, yani Ukraynalı kuruluşların SmokeLoader kimlik avı e-postalarıyla vurulduğu döneme dayanıyor. Talos analistleri, bu kampanya ile Amadey tarafından yönetilen yeni kampanya arasında taktik ve altyapı açısından dikkate değer bir örtüşme fark etti ve bu da her ikisinin de arkasında aynı kişilerin olabileceğini düşündürüyor.

Bu vakada öne çıkan nokta , GitHub'ın kötüye kullanımıydı . Saldırganlar sahte hesaplar oluşturup bunları açık dizinler, barındırma yükleri, araçlar ve Amadey eklentileri gibi kullandılar. GitHub'ın kurumsal ortamlardaki yaygın kullanımı ve güveninden yararlanan saldırganlar, kötü amaçlı alan adlarını engelleyebilecek birçok standart web filtresini muhtemelen atlattılar.

Cisco Talos'un teknik blog yazısına göre, özellikle " Legendary99999 " adlı bir GitHub hesabı yoğun bir şekilde kullanıldı. Bu hesap, her biri doğrudan bir GitHub URL'si aracılığıyla indirilmeye hazır tek bir kötü amaçlı dosya içeren 160'tan fazla depo barındırıyordu.

" Milidmdds " ve " DFfe9ewf " adlı diğer iki hesap da benzer bir yaklaşım izledi, ancak "DFfe9ewf" daha deneysel görünüyordu. Toplamda, bu hesaplar Amadey, Lumma, Redline ve AsyncRAT dahil olmak üzere çeşitli bilgi çalan ailelerden betikler, yükleyiciler ve ikili dosyalar barındırıyordu.

Amadey yeni bir şey değil. İlk olarak 2018'de Rusça forumlarda ortaya çıktı, yaklaşık 500 dolara satıldı ve o zamandan beri çeşitli gruplar tarafından botnet'ler oluşturmak ve ek kötü amaçlı yazılımlar yaymak için kullanıldı.

Kötü amaçlı yazılım, sistem bilgilerini toplayabilir, daha fazla araç indirebilir ve eklentilerle işlevselliğini genişletebilir. Genellikle bir indirici olarak kullanılmasına rağmen, esnek tasarımı sayesinde nasıl yapılandırıldığına bağlı olarak daha büyük bir tehdit oluşturabilir.

Bu kampanya ile daha önceki SmokeLoader operasyonu arasındaki teknik bağlantı, " Emmenhtal " olarak bilinen bir yükleyiciye odaklanıyor. İlk olarak 2024 yılında Orange Cyberdefense tarafından belgelenen Emmenhtal, nihai yükünü katmanlar halinde gizleyen çok katmanlı bir indirici. Talos, Emmenhtal varyantlarının yalnızca Ukraynalı kuruluşları hedef alan kimlik avı kampanyalarında değil, aynı zamanda sahte GitHub hesaplarında barındırılan betiklere de yerleştirildiğini keşfetti.

Ayrıca dikkat çekici olan, " Milidmdds " hesabındaki " Work.js " ve " Putikatest.js " gibi bazı betiklerin, önceki kampanyada görülenlerle neredeyse aynı olmasıydı. Tek fark, işlev adları ve son indirme hedeflerindeki küçük değişikliklerdi. Bu sürümler, SmokeLoader yerine Amadey, PuTTY çalıştırılabilir dosyaları ve AsyncRAT gibi uzaktan erişim araçlarını getiriyordu.

GitHub'ın kullanımı yalnızca JavaScript dropper'larıyla sınırlı değildi. Talos ayrıca, kripto aracı kılığında " checkbalance.py " adlı bir Python betiği buldu. Gerçekte ise, Amadey'i bilinen bir komut ve kontrol adresinden indiren bir PowerShell betiğini çözüp çalıştırdı. Dahası, bozuk Kiril alfabesiyle yazılmış bir hata mesajı göstererek, kaynağına veya hedef kitlesine işaret etti.

GitHub, uyarı aldıktan sonra tespit edilen hesapları hızla kapatsa da, bu olay günlük platformların kötü amaçlı olarak nasıl istismar edilebileceğini gözler önüne seriyor. GitHub erişiminin gerekli olduğu ortamlarda, bu tür kötüye kullanımları tespit etmek kolay değil.

Talos araştırmacıları altyapıyı izlemeye devam ediyor ve operatörlerin birden fazla müşteri adına veri yükleri dağıttığına inanıyor. Bu depolarda görülen bilgi hırsızlarının çeşitliliği bu teoriyi destekliyor ve GitHub'ın erişilebilirliği sayesinde, tespit edilmeden kalmak isteyen MaaS operasyonları için verimli bir dağıtım yöntemi sunuyor.