Trusseldatabase Malware Stargazers Ghost Network

Stargazers Ghost Network

En trusselsaktør identificeret som Stargazer Goblin har oprettet et netværk af falske GitHub-konti for at køre en Distribution-as-a-Service (DaaS) operation, der distribuerer forskellige typer af informationsstjælende malware, hvilket har tjent dem $100.000 i ulovligt overskud i løbet af det seneste år.

Dette netværk, kendt som Stargazers Ghost Network, omfatter mere end 3.000 konti på den skybaserede kodehostingplatform og spænder over tusindvis af depoter, der bruges til at dele ondsindede links og malware.

Malware-familier spredt gennem dette netværk inkluderer Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer og RedLine. Derudover engagerer de falske konti aktiviteter såsom hovedrollen, forgrening, ser og abonnerer på disse ondsindede lagre for at skabe et udseende af legitimitet.

Ondsindede konti, der optræder som normale brugere

Netværket menes at have været aktivt siden august 2022 i en eller anden foreløbig form, selvom en annonce for DaaS først blev set i mørket i begyndelsen af juli 2023. Trusselsaktørerne driver nu et netværk af 'Ghost'-konti, der distribuerer malware via ondsindede links på deres depoter og krypterede arkiver som udgivelse.

Dette netværk distribuerer ikke kun malware, men tilbyder også forskellige andre aktiviteter, der får disse 'Ghost'-konti til at fremstå som normale brugere, hvilket giver falsk legitimitet til deres handlinger og de tilhørende lagre.

Forskellige kategorier af GitHub-konti er ansvarlige for forskellige aspekter af ordningen i et forsøg på at gøre deres infrastruktur mere modstandsdygtig over for nedtagningsbestræbelser fra GitHub, når ondsindede nyttelaster er markeret på platformen.

Forskellige typer konti, der anvendes af trusselsaktørerne

Netværket anvender forskellige typer konti til forskellige funktioner: nogle konti administrerer phishing-depotskabeloner, andre leverer billeder til disse skabeloner, og nogle skubber malware til lagrene i adgangskodebeskyttede arkiver forklædt som cracket software eller spilsnydekoder.

Hvis GitHub opdager og forbyder det tredje sæt konti, opdaterer Stargazer Goblin phishing-lageret fra det første sæt med et nyt link til en aktiv ondsindet udgivelse, hvilket minimerer driftsforstyrrelser.

Ud over at kunne lide nye udgivelser fra flere lagre og ændre downloadlinks i README.md-filerne, tyder beviser på, at nogle konti i netværket kan være blevet kompromitteret, med deres legitimationsoplysninger sandsynligvis opnået gennem tyverisk malware.

Forskere finder typisk, at Repository- og Stargazer-konti ofte forbliver upåvirket af forbud og nedtagninger af depoter, mens Commit and Release-konti normalt er forbudt, når deres ondsindede depoter er opdaget. Det er også almindeligt at se Link-Repositories, der indeholder links til forbudte Release-Repositories. Når dette sker, opdaterer den tilknyttede Commit-konto det ondsindede link til et nyt.

Forskellige malware-trusler implementeret

En af kampagnerne afsløret af eksperter involverer et ondsindet link, der fører til et GitHub-lager. Dette lager leder brugerne til et PHP-script, der er hostet på et WordPress-websted, som derefter leverer en HTML Application (HTA) fil til at udføre Atlantida Stealer via et PowerShell-script.

Ud over Atlantida Stealer distribuerer DaaS også andre malware-familier, herunder Lumma Stealer, RedLine Stealer, Rhadamanthys og RisePro. Eksperter har observeret, at disse GitHub-konti er en del af et bredere DaaS-netværk, der driver lignende 'Ghost'-konti på tværs af andre platforme såsom Discord, Facebook, Instagram, X og YouTube.

Konklusion

Stargazer Goblin har udviklet en meget sofistikeret malware-distributionsoperation, der smart undgår opdagelse ved at udnytte GitHubs omdømme som et legitimt websted. Denne tilgang hjælper med at undgå mistanke om ondsindede aktiviteter og reducerer skader, når GitHub griber ind.

Ved at bruge en række forskellige konti og profiler til forskellige opgaver – såsom at markere lagre, hoste dem, begå phishing-skabeloner og hoste ondsindede udgivelser – kan Stargazers Ghost Network begrænse deres tab. Når GitHub forstyrrer deres drift, påvirker det typisk kun en del af netværket, hvilket tillader resten af deres infrastruktur at fortsætte med at fungere med minimal påvirkning.

Trending

Mest sete

Indlæser...