Stargazers Ghost Network

Ένας παράγοντας απειλών που προσδιορίζεται ως Stargazer Goblin δημιούργησε ένα δίκτυο ψεύτικων λογαριασμών GitHub για να εκτελέσει μια λειτουργία Distribution-as-a-Service (DaaS) που διανέμει διάφορους τύπους κακόβουλου λογισμικού που κλέβει πληροφορίες, αποφέροντάς τους 100.000 $ σε παράνομα κέρδη τον περασμένο χρόνο.

Αυτό το δίκτυο, γνωστό ως Stargazers Ghost Network, περιλαμβάνει περισσότερους από 3.000 λογαριασμούς στην πλατφόρμα φιλοξενίας κώδικα που βασίζεται σε σύννεφο και εκτείνεται σε χιλιάδες αποθετήρια που χρησιμοποιούνται για την κοινή χρήση κακόβουλων συνδέσμων και κακόβουλου λογισμικού.

Οι οικογένειες κακόβουλου λογισμικού που διαδίδονται μέσω αυτού του δικτύου περιλαμβάνουν τα Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer και RedLine. Επιπλέον, οι ψεύτικοι λογαριασμοί εμπλέκονται σε δραστηριότητες όπως η εμφάνιση με αστέρι, το forking, η παρακολούθηση και η εγγραφή σε αυτά τα κακόβουλα αποθετήρια για να δημιουργήσουν μια εμφάνιση νομιμότητας.

Κακόβουλοι λογαριασμοί που παρουσιάζονται ως κανονικοί χρήστες

Το δίκτυο πιστεύεται ότι ήταν ενεργό από τον Αύγουστο του 2022 σε κάποια προκαταρκτική μορφή, αν και μια διαφήμιση για το DaaS δεν είχε εντοπιστεί στο σκοτάδι μέχρι τις αρχές Ιουλίου 2023. Οι φορείς απειλών λειτουργούν τώρα ένα δίκτυο λογαριασμών «Ghost» που διανέμουν κακόβουλο λογισμικό μέσω κακόβουλους συνδέσμους στα αποθετήρια τους και κρυπτογραφημένα αρχεία ως έκδοση.

Αυτό το δίκτυο όχι μόνο διανέμει κακόβουλο λογισμικό, αλλά παρέχει επίσης διάφορες άλλες δραστηριότητες που κάνουν αυτούς τους λογαριασμούς «Ghost» να εμφανίζονται ως κανονικοί χρήστες, προσδίδοντας ψεύτικη νομιμότητα στις ενέργειές τους και στα σχετικά αποθετήρια.

Διαφορετικές κατηγορίες λογαριασμών GitHub είναι υπεύθυνες για ξεχωριστές πτυχές του συστήματος σε μια προσπάθεια να καταστήσουν την υποδομή τους πιο ανθεκτική στις προσπάθειες κατάργησης από το GitHub όταν επισημαίνονται κακόβουλα ωφέλιμα φορτία στην πλατφόρμα.

Διαφορετικοί τύποι λογαριασμών που χρησιμοποιούνται από τους φορείς απειλών

Το δίκτυο χρησιμοποιεί διάφορους τύπους λογαριασμών για διαφορετικές λειτουργίες: ορισμένοι λογαριασμοί διαχειρίζονται πρότυπα αποθετηρίου ηλεκτρονικού ψαρέματος, άλλοι παρέχουν εικόνες για αυτά τα πρότυπα και κάποιοι ωθούν κακόβουλο λογισμικό στα αποθετήρια σε αρχεία που προστατεύονται με κωδικό πρόσβασης μεταμφιεσμένα ως σπασμένα λογισμικό ή απατεώνες παιχνιδιών.

Εάν το GitHub εντοπίσει και αποκλείσει το τρίτο σύνολο λογαριασμών, το Stargazer Goblin ενημερώνει το χώρο αποθήκευσης phishing από το πρώτο σύνολο με έναν νέο σύνδεσμο προς μια ενεργή κακόβουλη έκδοση, ελαχιστοποιώντας τη λειτουργική διακοπή.

Εκτός από το ότι αρέσουν οι νέες εκδόσεις από πολλαπλά αποθετήρια και η τροποποίηση των συνδέσμων λήψης στα αρχεία README.md, τα στοιχεία δείχνουν ότι ορισμένοι λογαριασμοί στο δίκτυο ενδέχεται να έχουν παραβιαστεί, με τα διαπιστευτήριά τους πιθανότατα να έχουν αποκτηθεί μέσω κακόβουλου λογισμικού κλοπής.

Οι ερευνητές συνήθως διαπιστώνουν ότι οι λογαριασμοί Repository και Stargazer συχνά παραμένουν ανεπηρέαστοι από απαγορεύσεις και καταργήσεις αποθετηρίου, ενώ οι λογαριασμοί Commit και Release συνήθως απαγορεύονται μόλις ανακαλυφθούν τα κακόβουλα αποθετήρια τους. Είναι επίσης σύνηθες να βλέπετε Αποθετήρια Συνδέσμων που περιέχουν συνδέσμους προς απαγορευμένα Αποθετήρια Έκδοσης. Όταν συμβεί αυτό, ο συσχετισμένος λογαριασμός Commit ενημερώνει τον κακόβουλο σύνδεσμο σε έναν νέο.

Αναπτύχθηκαν διάφορες απειλές κακόβουλου λογισμικού

Μία από τις καμπάνιες που αποκαλύφθηκε από ειδικούς περιλαμβάνει έναν κακόβουλο σύνδεσμο που οδηγεί σε ένα αποθετήριο GitHub. Αυτό το αποθετήριο κατευθύνει τους χρήστες σε ένα σενάριο PHP που φιλοξενείται σε έναν ιστότοπο WordPress, το οποίο στη συνέχεια παραδίδει ένα αρχείο εφαρμογής HTML (HTA) για την εκτέλεση του Atlantida Stealer μέσω ενός σεναρίου PowerShell.

Εκτός από το Atlantida Stealer, το DaaS διανέμει επίσης άλλες οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των Lumma Stealer, RedLine Stealer, Rhadamanthys και RisePro. Οι ειδικοί έχουν παρατηρήσει ότι αυτοί οι λογαριασμοί GitHub αποτελούν μέρος ενός ευρύτερου δικτύου DaaS που λειτουργεί παρόμοιους λογαριασμούς «Ghost» σε άλλες πλατφόρμες όπως το Discord, το Facebook, το Instagram, το X και το YouTube.

συμπέρασμα

Το Stargazer Goblin έχει αναπτύξει μια εξαιρετικά εξελιγμένη λειτουργία διανομής κακόβουλου λογισμικού που αποφεύγει έξυπνα τον εντοπισμό αξιοποιώντας τη φήμη του GitHub ως νόμιμου ιστότοπου. Αυτή η προσέγγιση βοηθά στην αποφυγή υποψιών για κακόβουλες δραστηριότητες και μειώνει τη ζημιά όταν παρεμβαίνει το GitHub.

Χρησιμοποιώντας μια ποικιλία λογαριασμών και προφίλ για διαφορετικές εργασίες—όπως η επισήμανση αποθετηρίων με αστέρι, η φιλοξενία τους, η δέσμευση προτύπων phishing και η φιλοξενία κακόβουλων εκδόσεων— το Stargazers Ghost Network μπορεί να περιορίσει τις απώλειές τους. Όταν το GitHub διακόπτει τις λειτουργίες του, συνήθως επηρεάζει μόνο ένα μέρος του δικτύου, επιτρέποντας στην υπόλοιπη υποδομή του να συνεχίσει να λειτουργεί με ελάχιστο αντίκτυπο.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...