- 19,470
- 40
- 8 Ноя 2022
Под ударом вымогателей оказались сразу три операционные системы.
Исследователи из Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся новые версии вымогательского ПО Albabat, которое теперь нацелено не только на Windows, но и на устройства под управлением Linux и macOS. Такой шаг свидетельствует о технической эволюции группировки и расширении круга потенциальных жертв. Одновременно стало известно, что операторы вредоносного ПО используют GitHub для упрощения своей инфраструктуры.
Первые версии Albabat были замечены в конце 2023 года. Недавно исследователи зафиксировали версии 2.0.0 и 2.5, способные собирать информацию о системе и оборудовании не только в Windows, но и в других популярных операционных системах. Конфигурационные данные программа загружает через GitHub REST API, выдавая себя за приложение с подписью «Awesome App». Эта конфигурация управляет поведением вредоносного ПО и его функциональностью.
Albabat игнорирует целый ряд системных и пользовательских директорий, чтобы избежать избыточного шифрования, и сосредоточен на файлах, которые могут содержать важную информацию. Список расширений, подлежащих шифрованию, насчитывает несколько десятков типов — от исполняемых и конфигурационных файлов до музыкальных и файлов-библиотек. Кроме того, программа игнорирует определённые системные файлы и завершает работу множества пользовательских и системных процессов, включая браузеры, офисные приложения и инструменты для анализа процессов.
Собранные данные Albabat передаёт на сервер в облаке Supabase через PostgreSQL, где хранятся сведения об устройстве, геолокация, сведения о пользователях и текущий статус заражения. База данных используется злоумышленниками для мониторинга распространения, управления выкупами и, возможно, дальнейшей перепродажи данных.
Особое внимание исследователей привлёк способ получения конфигурации. Вредоносное ПО обращается к частному репозиторию на GitHub, используя закрытый токен авторизации. Репозиторий с именем billdev1.github.io был создан в феврале 2024 года, а владельцем значится пользователь под псевдонимом «Bill Borguiann». В истории коммитов наблюдается активная работа над конфигурационным кодом, особенно в августе и сентябре 2024 года. Email разработчика указывает на домен morke[.]org, что, по мнению аналитиков, может указывать на централизованную инфраструктуру группировки.
На GitHub также была обнаружена директория с названием «2.5.x», которая, предположительно, относится к ещё не опубликованной версии вредоносного ПО. Внутри содержится обновлённый конфигурационный файл, где появились новые криптокошельки: Bitcoin, Ethereum, Solana и BNB. Пока что транзакций по ним не обнаружено, что может означать начальный этап тестирования.
GitHub выступает в роли централизованного хранилища для ключевых компонентов, упрощая логистику и снижая затраты на инфраструктуру для злоумышленников. Такой подход делает операцию более устойчивой и менее заметной для систем обнаружения вторжений.
Специалисты Trend Micro рекомендуют компаниям следить за индикаторами компрометации, поскольку раннее обнаружение угрозы позволяет быстрее реагировать и минимизировать ущерб. В числе защитных мер — регулярное резервное копирование, сегментация сети, своевременное обновление систем и обучение сотрудников распознаванию фишинговых атак.
Новые версии Albabat демонстрируют направленное развитие инструментария вымогателей и желание усилить охват, распространяясь на разные операционные системы. Использование легитимных платформ вроде GitHub затрудняет выявление и блокировку атак, что требует от защитных систем большей гибкости и внимания к деталям сетевой активности.
Исследователи из Trend Micro Для просмотра ссылки Войди
Первые версии Albabat были замечены в конце 2023 года. Недавно исследователи зафиксировали версии 2.0.0 и 2.5, способные собирать информацию о системе и оборудовании не только в Windows, но и в других популярных операционных системах. Конфигурационные данные программа загружает через GitHub REST API, выдавая себя за приложение с подписью «Awesome App». Эта конфигурация управляет поведением вредоносного ПО и его функциональностью.
Albabat игнорирует целый ряд системных и пользовательских директорий, чтобы избежать избыточного шифрования, и сосредоточен на файлах, которые могут содержать важную информацию. Список расширений, подлежащих шифрованию, насчитывает несколько десятков типов — от исполняемых и конфигурационных файлов до музыкальных и файлов-библиотек. Кроме того, программа игнорирует определённые системные файлы и завершает работу множества пользовательских и системных процессов, включая браузеры, офисные приложения и инструменты для анализа процессов.
Собранные данные Albabat передаёт на сервер в облаке Supabase через PostgreSQL, где хранятся сведения об устройстве, геолокация, сведения о пользователях и текущий статус заражения. База данных используется злоумышленниками для мониторинга распространения, управления выкупами и, возможно, дальнейшей перепродажи данных.
Особое внимание исследователей привлёк способ получения конфигурации. Вредоносное ПО обращается к частному репозиторию на GitHub, используя закрытый токен авторизации. Репозиторий с именем billdev1.github.io был создан в феврале 2024 года, а владельцем значится пользователь под псевдонимом «Bill Borguiann». В истории коммитов наблюдается активная работа над конфигурационным кодом, особенно в августе и сентябре 2024 года. Email разработчика указывает на домен morke[.]org, что, по мнению аналитиков, может указывать на централизованную инфраструктуру группировки.
На GitHub также была обнаружена директория с названием «2.5.x», которая, предположительно, относится к ещё не опубликованной версии вредоносного ПО. Внутри содержится обновлённый конфигурационный файл, где появились новые криптокошельки: Bitcoin, Ethereum, Solana и BNB. Пока что транзакций по ним не обнаружено, что может означать начальный этап тестирования.
GitHub выступает в роли централизованного хранилища для ключевых компонентов, упрощая логистику и снижая затраты на инфраструктуру для злоумышленников. Такой подход делает операцию более устойчивой и менее заметной для систем обнаружения вторжений.
Специалисты Trend Micro рекомендуют компаниям следить за индикаторами компрометации, поскольку раннее обнаружение угрозы позволяет быстрее реагировать и минимизировать ущерб. В числе защитных мер — регулярное резервное копирование, сегментация сети, своевременное обновление систем и обучение сотрудников распознаванию фишинговых атак.
Новые версии Albabat демонстрируют направленное развитие инструментария вымогателей и желание усилить охват, распространяясь на разные операционные системы. Использование легитимных платформ вроде GitHub затрудняет выявление и блокировку атак, что требует от защитных систем большей гибкости и внимания к деталям сетевой активности.
- Источник новости
- www.securitylab.ru
