Stargazers Ghost Network

Актьор на заплаха, идентифициран като Stargazer Goblin, е създал мрежа от фалшиви акаунти в GitHub, за да управлява операция Distribution-as-a-Service (DaaS), която разпространява различни видове злонамерен софтуер за кражба на информация, като им е спечелила $100 000 незаконни печалби през последната година.

Тази мрежа, известна като Stargazers Ghost Network, включва повече от 3000 акаунта в облачната платформа за хостинг на код и обхваща хиляди хранилища, използвани за споделяне на злонамерени връзки и зловреден софтуер.

Семействата на зловреден софтуер, разпространявани през тази мрежа, включват Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer и RedLine. Освен това, фалшивите акаунти участват в дейности като звезда, разклоняване, гледане и абониране за тези злонамерени хранилища, за да създадат вид на легитимност.

Злонамерени акаунти, представящи се за обикновени потребители

Смята се, че мрежата е била активна от август 2022 г. в някаква предварителна форма, въпреки че реклама за DaaS не беше забелязана на тъмно до началото на юли 2023 г. Актьорите на заплахата сега управляват мрежа от „Призрачни“ акаунти, които разпространяват зловреден софтуер чрез злонамерени връзки в техните хранилища и криптирани архиви като издание.

Тази мрежа не само разпространява зловреден софтуер, но също така предоставя различни други дейности, които правят тези „призрачни“ акаунти да изглеждат като нормални потребители, придавайки фалшива легитимност на техните действия и свързаните хранилища.

Различни категории акаунти в GitHub са отговорни за различни аспекти на схемата в опит да направят инфраструктурата си по-устойчива на усилията за премахване от страна на GitHub, когато злонамерените полезни товари са маркирани на платформата.

Различни типове акаунти, използвани от заплахите

Мрежата използва различни типове акаунти за различни функции: някои акаунти управляват шаблони за фишинг хранилища, други доставят изображения за тези шаблони, а някои избутват зловреден софтуер към хранилищата в защитени с парола архиви, маскирани като кракнат софтуер или мами за игри.

Ако GitHub открие и забрани третия набор от акаунти, Stargazer Goblin актуализира фишинг хранилището от първия набор с нова връзка към активно злонамерено издание, минимизирайки смущенията в работата.

В допълнение към харесването на нови издания от множество хранилища и модифицирането на връзки за изтегляне във файловете README.md, доказателствата сочат, че някои акаунти в мрежата може да са били компрометирани, като идентификационните им данни вероятно са получени чрез злонамерен софтуер крадец.

Изследователите обикновено установяват, че акаунтите Repository и Stargazer често остават незасегнати от забрани и премахвания на хранилища, докато акаунтите Commit и Release обикновено се забраняват, след като бъдат открити техните злонамерени хранилища. Също така е обичайно да видите Link-Repositories, които съдържат връзки към забранени Release-Repositories. Когато това се случи, свързаният Commit акаунт актуализира злонамерената връзка с нова.

Различни заплахи за злонамерен софтуер

Една от кампаниите, разкрити от експерти, включва злонамерена връзка, водеща до хранилище на GitHub. Това хранилище насочва потребителите към PHP скрипт, хостван на сайт на WordPress, който след това доставя файл с HTML приложение (HTA) за изпълнение на Atlantida Stealer чрез PowerShell скрипт.

В допълнение към Atlantida Stealer, DaaS разпространява и други семейства зловреден софтуер, включително Lumma Stealer, RedLine Stealer, Rhadamanthys и RisePro. Експертите са забелязали, че тези акаунти в GitHub са част от по-широка DaaS мрежа, която управлява подобни „призрачни“ акаунти в други платформи като Discord, Facebook, Instagram, X и YouTube.

Заключение

Stargazer Goblin разработи изключително сложна операция за разпространение на зловреден софтуер, която умело избягва откриването, като използва репутацията на GitHub като легитимен сайт. Този подход помага да се избегнат подозрения за злонамерени дейности и намалява щетите, когато GitHub се намеси.

Чрез използване на различни акаунти и профили за различни задачи – като маркиране на хранилища със звезда, тяхното хостване, извършване на фишинг шаблони и хостване на злонамерени издания – Stargazers Ghost Network може да ограничи загубите си. Когато GitHub наруши техните операции, това обикновено засяга само част от мрежата, позволявайки на останалата част от тяхната инфраструктура да продължи да функционира с минимално въздействие.

Тенденция

Най-гледан

Зареждане...