Sophos считает, что один человек или группа под названием «ischhfd83» стоит за более чем сотней вариантов вредоносных программ, предназначенных для начинающих киберпреступников и любителей компьютерных игр, которые хотят заполучить вредоносный код.
Исследователи привязали сотни репозиториев GitHub к одному российскому адресу электронной почты (ischhfd83[at]rambler[.]ru) после того, как клиент Sophos обратился с запросом о трояне удаленного доступа (RAT), который фигурировал в публикациях технической журналистики и социальных сетях в апреле.
<предполагается, что в Sakura RAT были встроены сложные механизмы уклонения, которые заставляли клиентов спрашивать, защищены ли они от этого, – по словам исследователей, это относительно распространенный тип взаимодействия.Однако, заглянув глубже, они обнаружили, что КРЫСА Сакура не сделала ничего особенного, кроме установки инфокрадов и других крыс на компьютер, используемый потенциальным злоумышленником. Подлый материал.На самом деле, большая часть кода была скопирована из AsyncRAT, широко используемой вредоносной программы в кругах киберпреступников, только многие формы были оставлены пустыми, что означало, что она не будет функционировать так, как задумывал злоумышленник.
Sakura RAT также содержала событие предварительной сборки в своем файле проекта Visual Basic, содержащем команды, которые автоматически загружали вредоносное ПО на устройство пользователя.Заинтересовавшись, исследователи Sophos изучили другие репозитории ischhfd83 и обнаружили 141, 133 из которых были так или иначе подключены к серверу. 111 из них были подключены к серверу с использованием того же события предварительной сборки, что и Sakura RAT.
Пятьдесят восемь процентов продавались как читы для видеоигр. Однако, по данным Sophos, 24 процента из них также были перечислены под видом вредоносных проектов, эксплойтов или средств атаки.Деятельность Ischhfd83 в основном охватывала 2024-2025 годы и включала проекты, направленные на устранение уязвимостей, раскрытых совсем недавно, в апреле, но исследователи полагают, что кампания, возможно, началась еще в 2022 году.
Помимо игровых читов и вредоносного ПО, есть и другие проекты, связанные с ботами (7 процентов), криптовалютные инструменты (5 процентов) и другие различные инструменты (6 процентов).
В Sophos отметили, что ischhfd83 «похоже, прилагает определенные усилия для того, чтобы их серверные хранилища выглядели законными».
Изучив файлы YAML в своих репозиториях, исследователи обнаружили, что человек или отдельные лица, стоящие за этой кампанией, использовали рабочий процесс GitHub Actions чтобы автоматизировать совершение операций репо, некоторые из них зарегистрировали почти 60 000 всего за несколько месяцев.На первый взгляд, у незаинтересованного наблюдателя создается впечатление регулярно обновляемого хранилища, заслуживающего доверия. Однако те, кто более внимателен к деталям, заметят особенности.В большинстве репозиториев участвовало небольшое число участников, почти ни у кого из которых не было собственных репозиториев. У многих были очень похожие имена пользователей, в некоторых было изменено всего несколько символов, и небольшое число владельцев репозиториев могли участвовать только в проектах, созданных другими членами этой группы. Кроме того, у этих владельцев почти всегда был один и тот же адрес электронной почты, связанный с Ischhfd83.
Sophos — не первая охранная фирма, которая изучает подобные кампании. С 2022 года Checkmarx пользуется особым спросом, и Sophos связывает большую часть своей работы, как в слабой, так и в сильной степени, с Ischhfd83.
Кампании, исследованные Trend Micro, Kaspersky, Check Point и другими, также имеют схожие качества, отметили в Sophos.Репозитории Ischhfd83 были охарактеризованы как продолжение работы других поставщиков в рамках так называемой операции «распространение как услуга».Хотя модель распространения кампаний Ischhfd83 неясна, предыдущая работа выявила Discord и YouTube в качестве основных средств распространения ссылок на вредоносные проекты на GitHub для заражения потенциальных киберпреступников.
В Sophos сказали, что редко можно увидеть, чтобы киберпреступники нападали на своих же, несмотря на многолетнюю активность. Однако буквально в прошлом месяце компания опубликовала результаты отдельного расследования, в ходе которого было установлено, что команда программ-вымогателей DragonForce, недавно связанная с крупными атаками на розничных продавцов в Великобритании, портила веб-сайты конкурентов в борьбе за доминирование на рынке.
Когда Sophos поняла, что происходит, она сразу же сообщила о проекте Sakura RAT на GitHub, и платформа довольно быстро закрыла его, хотя новостные сообщения и посты в социальных сетях, рассказывающие о его возможностях, по-прежнему доступны для поиска.
Ирония в том, что проект Sakura RAT был запущен в 2009 году. взаимодействие нападающего с нападающим здесь может стать освежающим глотком воздуха для зрителей, но оно также может иметь непредвиденные последствия.Большинству специалистов по безопасности хватило бы здравого смысла запускать подобные проекты в виртуальных средах, просто на случай скрытых бэкдоров, подобных тем, которые используются Ischhfd83. Но новые энтузиасты с открытым исходным кодом, впервые знакомящиеся с GitHub, могут быть легко обмануты автоматическими коммитами, заставив их думать, что один из этих проектов безопасен, предупреждает Sophos.
«Остается неясным, связана ли эта кампания напрямую с некоторыми или всеми предыдущими кампаниями, о которых сообщалось, но подход, по-видимому, популярен и эффективен и, вероятно, будет продолжаться в той или иной форме.»В будущем, возможно, фокус может измениться, и злоумышленники могут нацелиться на другие группы, помимо неопытных киберпреступников и геймеров, использующих читы». ®
