Stargazers Ghost Network
Hrozný aktér identifikovaný jako Stargazer Goblin vytvořil síť falešných účtů GitHub, aby provozoval operaci Distribution-as-a-Service (DaaS), která distribuuje různé typy malwaru kradoucího informace, což jim za poslední rok vydělalo 100 000 dolarů na nelegálních ziscích.
Tato síť, známá jako Stargazers Ghost Network, zahrnuje více než 3 000 účtů na cloudové platformě pro hostování kódu a zahrnuje tisíce úložišť používaných ke sdílení škodlivých odkazů a malwaru.
Mezi rodiny malwaru šířené prostřednictvím této sítě patří Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer a RedLine. Falešné účty se navíc zapojují do činností, jako je označování hvězdičkou, forkování, sledování a přihlašování k odběru těchto škodlivých úložišť, aby vytvořily zdání legitimity.
Obsah
Škodlivé účty vydávající se za normální uživatele
Předpokládá se, že síť byla v nějaké předběžné formě aktivní od srpna 2022, ačkoli reklama na DaaS nebyla ve tmě spatřena až do začátku července 2023. Aktéři hrozeb nyní provozují síť účtů „Ghost“, které distribuují malware prostřednictvím škodlivé odkazy na jejich úložištích a šifrovaných archivech jako vydání.
Tato síť nejen distribuuje malware, ale také poskytuje různé další aktivity, díky nimž se tyto účty „duchů“ jeví jako normální uživatelé a propůjčují falešnou legitimitu jejich akcím a souvisejícím úložištím.
Různé kategorie účtů GitHub jsou zodpovědné za různé aspekty schématu ve snaze zajistit, aby jejich infrastruktura byla odolnější vůči úsilí GitHubu o zastavení šíření, když jsou na platformě označeny škodlivé užitečné zatížení.
Různé typy účtů využívaných aktéry hrozeb
Síť využívá různé typy účtů pro různé funkce: některé účty spravují šablony phishingových úložišť, jiné dodávají obrázky pro tyto šablony a některé posílají malware do úložišť v heslem chráněných archivech maskovaných jako cracknutý software nebo herní cheaty.
Pokud GitHub detekuje a zablokuje třetí sadu účtů, Stargazer Goblin aktualizuje phishingové úložiště z první sady novým odkazem na aktivní škodlivé vydání, čímž se minimalizuje narušení provozu.
Kromě toho, že se vám líbí nová vydání z více úložišť a upravují se odkazy ke stažení v souborech README.md, důkazy naznačují, že některé účty v síti mohly být kompromitovány, přičemž jejich přihlašovací údaje byly pravděpodobně získány prostřednictvím zlodějského malwaru.
Výzkumníci obvykle zjišťují, že účty Repository a Stargazer často zůstávají nedotčeny zákazy a odebráním úložiště, zatímco účty Commit a Release jsou obvykle zakázány, jakmile jsou objevena jejich zákeřná úložiště. Je také běžné vidět úložiště odkazů, která obsahují odkazy na zakázaná úložiště vydání. Když k tomu dojde, přidružený účet Commit aktualizuje škodlivý odkaz na nový.
Nasazeny různé malwarové hrozby
Jedna z kampaní, kterou odborníci odhalili, zahrnuje škodlivý odkaz vedoucí k úložišti GitHub. Toto úložiště nasměruje uživatele na skript PHP hostovaný na webu WordPress, který pak dodá soubor aplikace HTML (HTA) pro spuštění Atlantida Stealer prostřednictvím skriptu PowerShell.
Kromě Atlantida Stealer, DaaS také distribuuje další rodiny malwaru, včetně Lumma Stealer, RedLine Stealer, Rhadamanthys a RisePro. Odborníci zjistili, že tyto účty GitHub jsou součástí širší sítě DaaS, která provozuje podobné účty „Ghost“ na jiných platformách, jako je Discord, Facebook, Instagram, X a YouTube.
Závěr
Stargazer Goblin vyvinul vysoce sofistikovanou operaci distribuce malwaru, která se chytře vyhýbá detekci tím, že využívá pověst GitHubu jako legitimního webu. Tento přístup pomáhá vyhnout se podezření na škodlivé aktivity a snižuje škody, když GitHub zasáhne.
Použitím různých účtů a profilů pro různé úkoly – jako je označování úložišť hvězdičkou, jejich hostování, páchaní phishingových šablon a hostování škodlivých verzí – může Stargazers Ghost Network omezit jejich ztráty. Když GitHub naruší jejich provoz, obvykle to ovlivní pouze část sítě, což umožní zbytku jejich infrastruktury pokračovat ve fungování s minimálním dopadem.