Teknoloji dünyasının nabzını tutan Teknoscope olarak, siber güvenlik alanında önemli bir gelişmeyi sizlerle paylaşıyoruz. Güvenlik araştırmacıları, kötü amaçlı yazılım dağıtımında GitHub'ın kötüye kullanıldığını ortaya çıkardı. Bu durum, yazılım geliştirme dünyasının temel taşlarından biri olan bu platformun, siber suçlular tarafından nasıl bir silah olarak kullanılabileceğini gözler önüne seriyor.
GitHub, dünya genelinde milyonlarca geliştiricinin kodlarını barındırdığı ve paylaştığı bir platform. Ancak son keşfedilen bir zararlı yazılım operasyonu, bu güvenli limanın kötü amaçlı yazılım dağıtımında bir kanal olarak kullanıldığını gösteriyor. Siber suçlular, halka açık GitHub hesaplarını kullanarak çeşitli kötü amaçlı yazılımları hedef kitlelerine ulaştırmış. Bu durum, birçok şirketin ağ güvenliği politikaları gereği GitHub'a erişimi engellemediği göz önüne alındığında, siber saldırıların tespitini daha da zorlaştırıyor.
Araştırmacılar, GitHub depolarından dosya indirme işleminin, çoğu kurumsal ağda bulunan web filtreleme sistemlerini kolayca atlatabildiğini belirtiyor. Zira birçok firma, yazılım geliştirme ekiplerinin ihtiyaçları doğrultusunda GitHub alan adına izin veriyor. Bu tür ortamlarda, zararlı bir GitHub indirmesini normal web trafiğinden ayırt etmek oldukça güçleşiyor.
Emmenhtal ve Amadey'in Gizemli Buluşması
Şubat ayından bu yana devam ettiği düşünülen bu kampanya, daha önce Emmenhtal ve PeakLight gibi isimlerle bilinen bir zararlı yazılım yükleyicisini kullanıyor. Farklı bir siber güvenlik ekibinin daha önce incelediği bu Emmenhtal varyantı, bu kez GitHub üzerinden dağıtılmış. Ancak Ukrayna'daki hedeflere yönelik önceki kampanyalarda zararlı arka kapı yazılımı SmokeLoader kullanılırken, bu yeni kampanya daha çok Amadey adlı farklı bir zararlı yazılım platformunu hedef almış.
Amadey, ilk olarak 2018 yılında botnet oluşturma amacıyla görülmüştü. Temel işlevi, bulaştığı cihazlardan sistem bilgilerini toplamak ve bu bilgilere göre kişiselleştirilmiş ikincil zararlı yazılım indirmelerini gerçekleştirmektir. Bu sayede saldırganlar, hedef sistemin özelliklerine göre en uygun zararlı yazılımı seçebiliyorlar.
Emmenhtal betikleri, dört katmanlı bir tasarıma sahip. Bu katmanların üçü gizleme (obfuscation) amacıyla kullanılırken, dördüncü katman ise son bir PowerShell indirme betiğiyle zararlı yazılımı teslim ediyor. Ayrıca, GitHub hesaplarında MP4 dosyaları gibi görünen zararlı yazılımların yanı sıra, checkbalance.py adında özel bir Python tabanlı yükleyici de tespit edilmiş.
Bu gelişme, siber güvenliğin ne kadar dinamik bir alan olduğunu bir kez daha gösteriyor. Kurumların ağlarını güncel tehditlere karşı korumak için sürekli olarak tetikte olması ve güvenlik önlemlerini gözden geçirmesi büyük önem taşıyor.
