Легальная платформа, нелегальные цели: GitHub в арсенале хакеров Albabat

Исследователи из Trend Micro обнаружили новые версии вымогательского ПО Albabat, которое теперь нацелено не только на Windows, но и на устройства под управлением Linux и macOS. Такой шаг свидетельствует о технической эволюции группировки и расширении круга потенциальных жертв. Одновременно стало известно, что операторы вредоносного ПО используют GitHub для упрощения своей инфраструктуры.

Первые версии Albabat были замечены в конце 2023 года. Недавно исследователи зафиксировали версии 2.0.0 и 2.5, способные собирать информацию о системе и оборудовании не только в Windows, но и в других популярных операционных системах. Конфигурационные данные программа загружает через GitHub REST API, выдавая себя за приложение с подписью «Awesome App». Эта конфигурация управляет поведением вредоносного ПО и его функциональностью.

Albabat игнорирует целый ряд системных и пользовательских директорий, чтобы избежать избыточного шифрования, и сосредоточен на файлах, которые могут содержать важную информацию. Список расширений, подлежащих шифрованию, насчитывает несколько десятков типов — от исполняемых и конфигурационных файлов до музыкальных и файлов-библиотек. Кроме того, программа игнорирует определённые системные файлы и завершает работу множества пользовательских и системных процессов, включая браузеры, офисные приложения и инструменты для анализа процессов.

Собранные данные Albabat передаёт на сервер в облаке Supabase через PostgreSQL, где хранятся сведения об устройстве, геолокация, сведения о пользователях и текущий статус заражения. База данных используется злоумышленниками для мониторинга распространения, управления выкупами и, возможно, дальнейшей перепродажи данных.

Особое внимание исследователей привлёк способ получения конфигурации. Вредоносное ПО обращается к частному репозиторию на GitHub, используя закрытый токен авторизации. Репозиторий с именем billdev1.github.io был создан в феврале 2024 года, а владельцем значится пользователь под псевдонимом «Bill Borguiann». В истории коммитов наблюдается активная работа над конфигурационным кодом, особенно в августе и сентябре 2024 года. Email разработчика указывает на домен morke[.]org, что, по мнению аналитиков, может указывать на централизованную инфраструктуру группировки.

На GitHub также была обнаружена директория с названием «2.5.x», которая, предположительно, относится к ещё не опубликованной версии вредоносного ПО. Внутри содержится обновлённый конфигурационный файл, где появились новые криптокошельки: Bitcoin, Ethereum, Solana и BNB. Пока что транзакций по ним не обнаружено, что может означать начальный этап тестирования.

GitHub выступает в роли централизованного хранилища для ключевых компонентов, упрощая логистику и снижая затраты на инфраструктуру для злоумышленников. Такой подход делает операцию более устойчивой и менее заметной для систем обнаружения вторжений.

Специалисты Trend Micro рекомендуют компаниям следить за индикаторами компрометации, поскольку раннее обнаружение угрозы позволяет быстрее реагировать и минимизировать ущерб. В числе защитных мер — регулярное резервное копирование, сегментация сети, своевременное обновление систем и обучение сотрудников распознаванию фишинговых атак.

Новые версии Albabat демонстрируют направленное развитие инструментария вымогателей и желание усилить охват, распространяясь на разные операционные системы. Использование легитимных платформ вроде GitHub затрудняет выявление и блокировку атак, что требует от защитных систем большей гибкости и внимания к деталям сетевой активности.